SimBad ជាយុទ្ធនាការ Adware ដ៏ធំមួយដែលគេរកឃើញនៅក្នុង Google Playstore មានកម្មវិធីព្យាបាទច្រើនជាង ២០០ ដែលទទួលបានការទាញយកជិត១៥០ លានដង។ ភាគច្រើននៃកម្មវិធីដែលមានគ្រោះថ្នាក់ជាកម្មវិធីប្រភេទហ្គេមក្លែងក្លាយ ហើយកម្មវិធីទាំង នេះបង្កើតការផ្សាយពាណិជ្ជកម្មរំខានយ៉ាងខ្លាំង និងបង្ហាញនៅខាងក្រៅកម្មវិធីដែលធ្វើឱ្យអ្នកប្រើប្រាស់ពិបាកក្នុងការតំឡើងនៅពេលវាត្រូវគេដំឡើង។ SDK ព្យាបាទ (ឧបករណ៍អភិវឌ្ឍន៍កម្មវិធី) “RXDrioder” ដើរតួនាទីយ៉ាងសំខាន់នៅក្នុងយុទ្ធនាការនេះដោយវាត្រូវអ្នកវាយប្រហារប្រើដើម្បីបង្ហាញចំនួនផ្សាយពាណិជ្ជកម្មខ្ពស់ដើម្បីបង្កើតប្រាក់ឮចំណូលកាន់តែច្រើន។
យុទ្ធនាការ AdBird មានឈ្មោះថា SimBad មិនផ្តោតគោលដៅលើប្រទេសណាមួយទេ ហើយ SDK នេះផ្តល់ដោយ ‘addroider [.] com’ ដែលក្លែងបន្លំអ្នកអភិវឌ្ឍន៍ដើម្បីប្រើប្រាស់វាសម្រាប់ ការអភិវឌ្ឍកម្មវិធី។ យោងទៅតាមការស្រាវជ្រាវរបស់អ្នកត្រួតពិនិត្យ កម្មវិធីនេះមានសកម្ម ភាពព្យាបាទជាច្រើនរួមមាន:
1.ការបង្ហាញពាណិជ្ជកម្មនៅខាងក្រៅកម្មវិធី។ឧទាហរណ៍នៅពេលអ្នកប្រើប្រាស់ដោះសោទូរស័ព្ទរបស់ពួកគេឬប្រើកម្មវិធីផ្សេងទៀត។
- បើក Google Play ឬ Apps Store និងបញ្ជូនទៅកម្មវិធីពិសេសផ្សេងទៀតដូច្នេះអ្នកអភិវឌ្ឍន៍អាចទទួលបានប្រាក់ចំណេញពីការដំឡើងបន្ថែម។
- លាក់រូបតំណាងរបស់វាពីអ្នកបើកដើម្បីការពារការលុបចោល។
- បើកកម្មវិធីអ៊ីនធឺណិតជាមួយតំណដែលផ្តល់ដោយអ្នកអភិវឌ្ឍន៍កម្មវិធី។
- ទាញយកឯកសារ APK ហើយសុំឱ្យអ្នកប្រើដំឡើងវា។
- ស្វែងរកពាក្យដែលផ្តល់ដោយកម្មវិធីក្នុង Google Play ។
ដំណើរការឆ្លងSimBad Adware
នៅពេលដែលកម្មវិធី Adware ត្រូវគេដាក់បញ្ចូលទៅក្នុងទូរស័ព្ទដៃរបស់ជនរងគ្រោះ SimBad ចុះឈ្មោះខ្លួនវាដើម្បីធ្វើឱ្យប្រាកដថាកម្មវិធីដែលដំឡើងរួចនៅតែដំណើរការលើឧបករណ៍
របស់ជនរងដែលគ្រោះចល័តគ្រប់ពេលពួកគេចាប់ផ្ដើម ឬដោះសោទូរស័ព្ទ។ ក្រោយមក SimBad តភ្ជាប់ទៅម៉ាស៊ីនមេ C & C ដើម្បីទទួលពាក្យបញ្ជាពីអ្នកវាយប្រហារដើម្បីអនុវត្តប្រតិបត្តិការដែលមានគ្រោះថ្នាក់ជាច្រើនដូចជាយករូបតំណាងធ្វើឱ្យអ្នកប្រើពិបាក និងបិទពាណិជ្ជកម្មជា “រូបភាព”។ យោងតាម Checkpoint “SimBad” មានសមត្ថភាពអាចបែងចែកជាបីក្រុម – បង្ហាញពត៌មានផ្សព្វផ្សាយ, ធ្វើការលួចបន្លំ និងបង្ករការប៉ះពាល់ដល់កម្មវិធី ផ្សេងទៀត។
ជាមួយនឹងសមត្ថភាពដើម្បីបើក URL ដែលផ្តល់ក្នុងកម្មវិធីរុករកមួយ មេរោគនៅពីក្រោយ ‘SimBad’ អាចបង្កើតទំព័រឆបោកសម្រាប់វេទិកាជាច្រើន ហើយអ្នក បើកពួកវាក្នុងកម្មវិធីរុករក ដូច្នេះវាអាចដំណើរការការវាយប្រហារលើអ្នកប្រើ។ “ម៉ាស៊ីនបម្រើ C2 គឺ ‘addroider [. ] com’ ត្រូវគេប្រើដើម្បីរចនាផ្នែកខាងក្រោយរបស់រចនាសម្ព័ន្ធដែលជា គំរូមួយសម្រាប់ផ្តល់កម្មវិធីបណ្ដាញនិងអ្នកអភិវឌ្ឍន៍កម្មវិធីទូរស័ព្ទជាមួយវិធីសាស្ត្រដើម្បីភ្ជាប់កម្មវិធីរបស់ពួកគេទៅផ្នែកខាងក្រោយការប្រើ cloud និង APIs ដែលបង្ហាញដោយកម្ម វិធីនៅខាងក្រោយ។ ដែនម៉ាស៊ីនបម្រើ C2 នេះត្រូវគេចុះឈ្មោះតាមរយៈ GoDaddy ហើយបច្ចុប្បន្ននេះដែននេះផុតកំណត់កាលពី ៧ ខែមុននេះបើយោងតាម RiskIQ’s PassiveTotal ៕


ប្រភពព័ត៌មាន៖