មេរោគ BianLian ត្រូវបានរកឃើញដំបូងនៅខែតុលា ឆ្នាំ២០១៨ មេរោគនេះមានគោលបំណងលួចលេខកូដផ្ទៀងផ្ទាត់ OTP ត្រួតពិនិត្យសមតុល្យ ចាក់បញ្ចូលការជូនដំណឹងជំរុញ និងមានសមត្ថភាពចាក់សោរឧបករណ៍និងស្នើសុំអ្នកប្រើប្រាស់ឱ្យបង់ថ្លៃលោះ។ កំណែដែលបានធ្វើបច្ចុប្បន្នភាពនៃមេរោគមានផ្ទុកនូវ Screencast Module ដើម្បីកត់ត្រាអេក្រង់នៃឧបករណ៍ដែលមានមេរោគនិងម៉ូឌុល Socks5 ប្រើសម្រាប់បង្កើតម៉ាស៊ីនមេ SSH នៅលើឧបករណ៍។ Fortiguard បានសង្កេតឃើញរលកថ្មីនៃយុទ្ធនាការមេរោគ BianLian ជាមួយនឹងម៉ូឌុលថ្មីរួមជាមួយម៉ូឌុលចាស់។
ម៉ូឌុលចាស់
អត្ថបទ: ម៉ូឌុលត្រូវបានប្រើដើម្បីផ្ញើ ទទួល និងចូលប្រើសារ SMS។
ussd: ម៉ូឌុលត្រូវបានប្រើដើម្បីដំណើរការលេខកូដ USSD និងធ្វើការហៅទូរស័ព្ទ។
injects: ម៉ូឌុលត្រូវបានប្រើដើម្បីត្រួតលើការវាយប្រហា រភាគច្រើនលើកម្មវិធីធនាគារ។
locker: ម៉ូឌុលដែលត្រូវបានប្រើដើម្បីចាក់សោអេក្រង់ បង្ហាញឧបករណ៍ដែលមិនអាចប្រើបានសម្រាប់អ្នកប្រើប្រាស់
ម៉ូឌុលថ្មី
screencast: ដើម្បីថតអេក្រង់
socks5: ដើម្បីបង្កើតម៉ាស៊ីនមេ SSH ដែលមានមុខងារ
នៅពេលមេរោគត្រូវបានប្រតិបត្តិលើប្រព័ន្ធ វានឹងលាក់រូបតំណាងហើយស្នើសុំសិទ្ធិអ្នកប្រើជាប្រចាំសម្រាប់សេវាកម្មភាពងាយស្រួលរហូតដល់វាត្រូវបានផ្តល់ជូន។ ប្រសិនបើការអនុញ្ញាតដែលបានផ្តល់ឱ្យ បន្ទាប់មកវាចាប់ផ្តើមទាំងម៉ូឌុលចាស់និងថ្មី។ មេរោគក៏ទម្លាក់នូវបន្ទុកបន្ថែមទៅ “Google Play Protect គឺសកម្មតាមរយៈ Google SafetyNet API” ។ Screencast Module ប្រើ“ កញ្ចប់ប្រព័ន្ធប្រតិបត្តិការ Android.media.projection.MediaProjection ដើម្បីបង្កើតការបង្ហាញជាក់ស្តែងដើម្បីបញ្ចាំង” ។ វាពិនិត្យមើលថាតើឧបករណ៍នេះត្រូវបានចាក់សោរឬអត់ ប្រសិនបើវាត្រូវបានចាក់សោរ បន្ទាប់មកវានឹងដោះសោហើយបន្ទាប់មកចាប់ផ្តើមដំណើរការថតពីចម្ងាយ។
ម៉ូឌុលថ្មីមួយទៀតគឺ Socks5 ដែលប្រើដើម្បីបង្កើត “ម៉ាស៊ីនមេSSH នៅលើឧបករណ៍ដោយប្រើ JSCH (Java Secure Channel)” ហើយវាដំណើរការវគ្គ SSH ដោយប្រើការបញ្ជូនបន្តតាមផែ ៣៤៥០០។ “BianLian ហាក់ដូចជានៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍យ៉ាងសកម្ម។ មុខងារដែលបានបន្ថែម ទោះបីជាមិនមានលក្ខណៈដើមទាំងស្រុងក៏ដោយ ក៏មានប្រសិទ្ធភាពនិងធ្វើឱ្យគ្រួសារនេះមានគ្រោះថ្នាក់ផងដែរ។ មូលដ្ឋានកូដនិងយុទ្ធសាស្រ្តរបស់វាធ្វើឱ្យវាដូចគ្នានឹងអ្នកធំដទៃទៀតនៅក្នុងចន្លោះមេរោគ។
BianLian Android Banking Malware is Back with Screen Recording and SSH Server Capabilities