ក្រុមគ្រួសារមេរោគអេឡិចត្រូនិកចល័តថ្មីមានឈ្មោះ Rotexy ចាប់ផ្តើមធ្វើការវាយប្រហារច្រើនជាង ៧០០០ ដងក្នុងរយៈពេល ៣ ខែពីខែសីហាដល់ខែតុលាឆ្នាំ២០១៨។ មេរោគវិវត្តពីសារអេឡិចត្រូនិកដែលមានសកម្មភាពក្នុងឆ្នាំ២០១៤។ ការវាយតម្លៃ malware Rotexy ធ្វើឡើងក្នុងឆ្នាំ ២០១៤ និង ២០១៥ ហើយរឿសំខាន់វាប្រើតំណភ្ជាប់ដើម្បីលួចបន្លំអ្នកប្រើប្រាស់ដែលជម្រុញឱ្យមានការដំឡើងកម្មវិធីព្យាបាទនេះ។

មេរោគប្រើសេវាកម្ម Google Cloud Messaging (GCM), មេរោគក្នុងម៉ាស៊ីន C & C និងសារផ្ញើសារចូលដើម្បីទៅដល់ឧបករណ៍របស់ជនរងគ្រោះ។ មុខងារចម្បងរបស់មេរោគទូរស័ព្ទដៃនេះគឺ Trojan និង ransomware ដែលវិស័យធនាគារ ចែកចាយតាមឈ្មោះរបស់ AvitoPay.apk ។ វាប្រើប្រាស់ការទាញយកជាច្រើនពីវ៉ិបសាយព្យាបាទជាច្រើនរួមមាន youla9d6h.tk, prodam8n9.tk, prodamfkz.ml, avitoe0ys.tk, ល។


កម្មវិធីមេរោគ (malware) ចល័ត Rotexy នៅតែបន្តស្នើសុំសិទ្ធិជាអ្នកគ្រប់គ្រងចល័ត សូម្បីតែអ្នកប្រើបើកទូរស័ព្ទឡើងវិញដើម្បីសុវត្ថិភាពក៏ដោយ ហើយសូម្បីតែកម្មវិធីព្យាបាទទាំងនោះត្រូវគេលុបចោលក៏ដោយ។ មេរោគ Rotexy វាយប្រហារផ្តោតសំខាន់ទៅលើអ្នកប្រើប្រាស់ជនជាតិរុស្ស៊ីដែលមានរហូតដល់ ៩៨% នៃការចម្លងរោគរបស់ខ្លួននៅក្នុងប្រទេសរុស្ស៊ី ហើយវាក៏ចម្លងទៅអ្នកប្រើប្រាស់ក្នុងប្រទេសអ៊ុយក្រែន អាឡឺម៉ង់ ទួគី និងបណ្តាប្រទេសផ្សេងៗទៀតផងដែរ។
ដំណើរការឆ្លងមេរោគ Malware Rotexy Mobile
ដំបូង ពេលមេរោគចាប់ផ្តើមឆ្លង មេរោគត្រួតពិនិត្យលើឧបករណ៍ថា តើបរិស្ថានបណ្តាញ sandbox មួយណាត្រូវគេរកឃើញ និងប្រទេសណាដែលជាប្រទេសជនរងគ្រោះ។ នៅពេលដែលមេរោគបញ្ចប់ការត្រួតពិនិត្យទាំងអស់ដោយជោគជ័យ ក្រោយមក Rotexy ចុះឈ្មោះជាមួយ GCM និងបើកដំណើរការ SuperService ដែលជួយពិនិត្យមើលសិទ្ធិគ្រប់គ្រងលើឧបករណ៍ដែលបន្តដំណើរការរៀងរាល់វិនាទី។ ក្រោយមក វាបង្ហាញសំណើកម្មវិធីដោយស្នើសិទ្ធិជាគោល(root) តាមរយៈការរង្វិលជុំមិនកំណត់ដើម្បីបង្ខំអ្នកប្រើឱ្យយល់ព្រម និងផ្ដល់សិទ្ធិឱ្យ។
យោងទៅតាមបញ្ជីសុវត្ថិភាព ប្រសិនបើមេរោគ Trojan detects ប៉ុនប៉ងដកហូតសិទ្ធិអ្នកគ្រប់គ្រងរបស់ខ្លួន វាចាប់ផ្តើមបិទអេក្រង់ទូរស័ព្ទជាប្រចាំដោយព្យាយាមបញ្ឈប់សកម្មភាពរបស់អ្នកប្រើ។ ប្រសិនបើសិទ្ធិត្រូវដកហូតដោយជោគជ័យនោះ វាចាប់ផ្ដើមវដ្តនៃការស្នើសុំសិទ្ធិជាអ្នកគ្រប់គ្រង។
ក្នុងអំឡុងពេលមានដំណើរការផ្ទៃខាងក្រោយរបស់ Rotexy នៅក្នុងទូរស័ព្ទគោលដៅ វាអាចបើក reboot របសស់ទូរស័ព្ទ។ វាធ្វើការបញ្ចប់ប្រតិបត្ដិការរបស់ខ្លួនដោយការផ្ញើសារជាអក្សរមួយដោយប្រើកម្មវិធី – ក្នុងករណីនេះទូរស័ព្ទត្រូវផ្លាស់ប្តូរទៅជារបៀបស្ងាត់។
ក្រោយមក មេរោគប្រើមូលដ្ឋានទិន្នន័យ SQLite ដែលជាមូលដ្ឋានប្រើប្រាស់ដើម្បីរក្សាទុកទិន្នន័យដែលប្រមូលពីទូរស័ព្ទចល័ត និងព័ត៌មានអំពីម៉ាស៊ីន servers C & C ។ Rotexy ទប់ស្កាត់គ្រប់សារ SMS ទាំងអស់ដែលចូលមក ហើយដំណើរការមេរោគតាមគំរូដែលវាទទួលពី C & C ។ ដូចគ្នានេះផងដែរនៅពេលផ្ញើសារជាអក្សរ មេរោគ Trojan ធ្វើឱ្យទូរស័ព្ទមានលក្ខណៈស្ងាត់ និងបិទអេក្រង់។ ដូច្នេះអ្នកប្រើប្រាស់មិនកត់សម្គាល់ថា សារ SMS ថ្មីមកដល់។ នៅពេលចាំបាច់ មេរោគTrojan ផ្ញើសារទៅលេខជាក់លាក់ដែលវាបញ្ជាក់ជាមួយព័ត៌មានដែលវាទទួលពីសារដែលវាបញ្ជូនទៅ។
ប្រសិនបើវាមិនទទួលការណែនាំណាមួយអំពីក្បួនដើម្បីដំណើរការលើសារដែលផ្ញើរចូលទេនោះ វាគ្រាន់តែរក្សាទុកសារ SMS ទាំងអស់នៅក្នុង DB មូលដ្ឋានហើយផ្ទុកវាចូលទៅក្នុង C & C server ។ ធ្វើតាមពាក្យបញ្ជាត្រូវប្រើដោយមេរោគនេះប្រើប្រាស់ដើម្បីអនុវត្តសកម្មភាពផ្សេងៗ។
- START, STOP, RESTART — start, stop, restart SuperService.
- URL — update C&C address.
- MESSAGE – ផ្ញើរសារ SMS ដែលមានផ្ទុកអត្ថបទច្បាស់លាស់មួយទៅឱ្យលេខជាក់លាក់មួយ
- UPDATE_PATTERNS – ចុះឈ្មោះឡើងវិញនៅក្នុងផ្ទាំងគ្រប់គ្រង។
- UNBLOCK –បើកទូរស័ព្ទ (ដកសិទ្ធិអ្នកគ្រប់គ្រងឧបករណ៍ពីកម្មវិធី)
- UPDATE – ទាញយកឯកសារ APK ពី C & C ហើយដំឡើងវា។ ពាក្យបញ្ជានេះអាចត្រូវប្រើមិនមែនគ្រាន់តែដើម្បីអាប់ដេតកម្មវិធីនោះទេ ប៉ុន្តែវាត្រូវគេប្រើដើម្បីដំឡើងកម្មវិធីណាមួយផ្សេងទៀតនៅលើឧបករណ៍ដែលឆ្លងមេរោគ។
- CONTACTS –CONTACTS_PRO – ផ្ញើសារដែលទទួលពី C & C ទៅទំនាក់ទំនងអ្នកប្រើទាំងអស់។
- PAGE – URL ទំនាក់ទំនងដែលទទួលពី C & C ដោយប្រើសិទ្ធជាអ្នកប្រើដែលទទួលពី C & C ឬមូលដ្ឋានទិន្នន័យ
- ទំនាក់ទំនង URL ដែលទទួលពី C&C ដោយប្រើប្រាស់ User-Agent value ដែលអាចទទួលពី C&C ឬពី local database
- ALLMSG – ផ្ញើរ C&C SMSs ទាំងអស់ ដែលទទួល និងផ្ញើរដោយ user ដូចដែលគេរក្សាទុកក្នុងមេម៉ូរ៉ីទូរស័ព្ទ
- ALLCONTACTS – ផ្ញើរលេខទំនាក់ទំនងទាំងអស់ពីមេម៉ូរ៉ីទូរស័ព្ទទៅ C&C.
- ONLINE – ផ្ញើព័ត៌មានអំពីស្ថានភាពបច្ចុប្បន្នរបស់មេរោគ Trojan ទៅ C & C: ហើយវាមានសិទ្ធិជាអ្នកគ្រប់គ្រងលើឧបករណ៍ដែល HTML បង្ហាញថា អេក្រង់បើកឬបិទ។ ល។
- NEWMSG – សរសេរ SMS ឱ្យទៅមេម៉ូរ៉ីដែលមានអត្ថបទ និងជាអ្នកផ្ញើរលេខពី C&C
- CHANGE_GCM_ID – ប្តូរ GSM ID.
- BLOCKER_BANKING_START – បង្ហាញ phishing HTML ផេចសម្រាប់ចូលមើលព័ត៌មានលំអិតរបស់កាតធនាគារ
- BLOCKER_EXTORTIONIST_START – បង្ហាញ HTML ផេច អំពីមេរោគ
- BLOCKER_UPDATE_START – បង្ហាញ HTML ផេចក្លែងក្លាយសម្រាប់ការអាប់ដេត
- BLOCKER_STOP – បិទការបង្ហាញគ្រប់ផេច HTML ទាំងអស់
ដូចគ្នានេះផងដែរ មេរោគ Trojan បង្ហាញទំព័របន្លំមួយ (bank.html) ដែលជំរុញឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានលំអិតតាមកាតធនាគាររបស់ពួកគេ។ ទំព័រនេះធ្វើត្រាប់តាមទំរង់ធនាគារស្របច្បាប់និងរារាំងអេក្រង់ឧបករណ៍រហូតដល់អ្នកប្រើបញ្ចូលព័ត៌មានគ្រប់ទាំងអស់។ វាថែមទាំងមានក្តារចុចនិម្មិតដែលអាចការពារជនរងគ្រោះពី keyloggers ។
មេរោគ Trojan បង្ខំឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានត្រឹមត្រូវទាំងអស់ ហើយវាពិនិត្យព័ត៌មានលម្អិតទាំងអស់ដែលប្រឆាំងនឹងទិន្នន័យដែលវាទទួលរួចហើយ។ នៅពេលដែលជនរងគ្រោះបញ្ចូលទិន្នន័យទាំងអស់នោះវានឹងពិនិត្យប្រភពដើមនៃទិន្នន័យនិងដាក់ចូលទៅក្នុងម៉ាស៊ីនមេ C & C ៕
ប្រភពព័ត៌មាន៖
https://gbhackers.com/powerful-mobile-malware-rotexy/