មេរោគ DragonEgg Mobile

យោងតាមក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ ក្រុមចារកម្មដែលឧបត្ថម្ភដោយរដ្ឋរបស់ចិនដែលត្រូវបានកំណត់ថា APT41 ដែលត្រូវបានគេស្គាល់ផងដែរដោយឈ្មោះក្លែងក្លាយផ្សេងទៀតដូចជា Barium, Earth Baku និង Winnti បានប្រើប្រាស់យ៉ាងសកម្មនូវមេរោគ WyrmSpy និង DragonEgg spyware malware ដើម្បីកំណត់គោលដៅឧបករណ៍ចល័ត Android ។ ខណៈពេលដែល APT41 មានប្រវត្តិនៃការពឹងផ្អែកលើការវាយប្រហារលើកម្មវិធីគេហទំព័រ និងភាពងាយរងគ្រោះផ្នែកទន់ទៅកាន់អង្គការគោលដៅជុំវិញពិភពលោក ថ្មីៗនេះវាបានផ្លាស់ប្តូរយុទ្ធសាស្ត្ររបស់ខ្លួនដើម្បីបង្កើតមេរោគដែលត្រូវបានកែសម្រួលយ៉ាងច្បាស់លាស់សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ។

នៅក្នុងវិធីសាស្រ្តថ្មីនេះ APT41 ប្រើប្រាស់ហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control អាសយដ្ឋាន IP និងដែនដែលមានស្រាប់របស់ខ្លួន ដើម្បីទាក់ទង និងគ្រប់គ្រងមេរោគ malware ពីរប្រភេទគឺ WyrmSpy និង DragonEgg ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់ឧបករណ៍ Android ។ ការផ្លាស់ប្តូរយុទ្ធសាស្រ្តនេះបង្ហាញពីការសម្របខ្លួន និងឆន្ទៈរបស់ក្រុមក្នុងការទាញយកកម្មវិធីទូរស័ព្ទនៅក្នុងយុទ្ធនាការចារកម្មរបស់ខ្លួន ដោយបង្ហាញពីទិដ្ឋភាពនៃការគំរាមកំហែងដែលកំពុងវិវត្តសម្រាប់អង្គការទូទាំងពិភពលោក។

APT41 កំពុងពង្រីកឧបករណ៍ Arsenal ដែលកំពុងគំរាមកំហែងរបស់ខ្លួន។

APT41 ទំនងជាប្រើយុទ្ធសាស្ត្រវិស្វកម្មសង្គមដើម្បីចែកចាយការគំរាមកំហែង spyware WyrmSpy និង DragonEgg ទៅកាន់ឧបករណ៍ Android ។ ពួកគេបានសម្រេចវាដោយក្លែងបន្លំ WyrmSpy ជាកម្មវិធីប្រព័ន្ធ Android លំនាំដើម និង DragonEgg ជាក្តារចុច Android ភាគីទីបី និងកម្មវិធីផ្ញើសារ រួមទាំងវេទិកាពេញនិយមដូចជា Telegram ។ រហូតមកដល់ពេលនេះ វានៅតែមិនទាន់ច្បាស់ថាតើការចែកចាយនៃប្រភេទមេរោគទាំងពីរនេះបានកើតឡើងតាមរយៈ Google Play Store ផ្លូវការ ឬតាមរយៈឯកសារ .apk ពីប្រភពផ្សេងទៀត។

ចំណុចសំខាន់នៃការចាប់អារម្មណ៍គឺការប្រើប្រាស់របស់ក្រុមនៃវិញ្ញាបនបត្រចុះហត្ថលេខាលើប្រព័ន្ធប្រតិបត្តិការ Android ស្រដៀងគ្នាសម្រាប់ទាំង WyrmSpy និង DragonEgg ។ ទោះជាយ៉ាងណាក៏ដោយ ការពឹងផ្អែកទាំងស្រុងលើភាពស្រដៀងគ្នានេះមិនគ្រប់គ្រាន់សម្រាប់ការបញ្ជាក់ច្បាស់លាស់នោះទេ ដោយសារតែក្រុមគំរាមកំហែងរបស់ចិនត្រូវបានគេស្គាល់ថាចែករំលែកឧបករណ៍ និងបច្ចេកទេសនៃការលួចចូល ដែលធ្វើឱ្យការកំណត់អត្តសញ្ញាណមានការលំបាក។ ភ័ស្តុតាងសរុបដែលនាំទៅដល់ការបញ្ជាក់របស់ពួកគេគឺការរកឃើញថាហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់មេរោគបានបង្ហាញពីអាសយដ្ឋាន IP និងដែនគេហទំព័រពិតប្រាកដដែល APT41 បានប្រើក្នុងយុទ្ធនាការជាច្រើនដែលគិតចាប់ពីខែឧសភា ឆ្នាំ 2014 ដល់ខែសីហា ឆ្នាំ 2020។ តំណភ្ជាប់ដ៏សំខាន់នេះបានពង្រឹងទំនាក់ទំនងនៃ spyware ចល័តជាមួយនឹងភ្នាក់ងារគំរាមកំហែង APT41 ។

ការប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គម និងការរៀបចំកម្មវិធី Android ដើម្បីបញ្ជូនមេរោគដែលឃ្លាំមើលបានគូសបញ្ជាក់ពីសារៈសំខាន់នៃសុវត្ថិភាពឧបករណ៍ចល័ត។ អ្នកប្រើប្រាស់ត្រូវបានណែនាំឱ្យអនុវត្តការប្រុងប្រយ័ត្ន ខណៈពេលដែលទាញយកកម្មវិធីពីប្រភពក្រៅផ្លូវការ និងប្រើប្រាស់ដំណោះស្រាយសុវត្ថិភាពល្បីឈ្មោះដើម្បីការពារប្រឆាំងនឹងការវាយប្រហារតាមគោលដៅបែបនេះ។ លើសពីនេះទៀត ការប្រុងប្រយ័ត្នដែលនៅសេសសល់ប្រឆាំងនឹងការប៉ុនប៉ងផ្នែកវិស្វកម្មសង្គម និងការធ្វើបច្ចុប្បន្នភាពកម្មវិធីជាទៀងទាត់អាចជួយកាត់បន្ថយហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះទៅនឹងកម្មវិធីគំរាមកំហែងដូចជា WyrmSpy និង DragonEgg ។

DragonEgg Siphons ព័ត៌មានរសើបពីឧបករណ៍ Android ដែលត្រូវបានសម្របសម្រួល

DragonEgg បង្ហាញអំពីកម្រិតនៃការរំខាននៅពេលវាស្នើសុំការអនុញ្ញាតយ៉ាងទូលំទូលាយនៅពេលដំឡើង។ មេរោគតាមដាននេះត្រូវបានបំពាក់ដោយសមត្ថភាពប្រមូលទិន្នន័យកម្រិតខ្ពស់ និងសមត្ថភាពបណ្តេញចេញ។ លើសពីនេះ DragonEgg ប្រើប្រាស់បន្ទុកបន្ទាប់បន្សំដែលហៅថា smallmload.jar ដែលផ្តល់មុខងារបន្ថែមដល់មេរោគ ដែលធ្វើឱ្យវាអាចទាញយកទិន្នន័យរសើបផ្សេងៗចេញពីឧបករណ៍ដែលមានមេរោគ។ វារួមបញ្ចូលទាំងឯកសារផ្ទុកឧបករណ៍ រូបថត ទំនាក់ទំនង សារ និងការថតសំឡេង។ ទិដ្ឋភាពគួរឱ្យកត់សម្គាល់មួយទៀតរបស់ DragonEgg គឺជាការប្រាស្រ័យទាក់ទងរបស់វាជាមួយម៉ាស៊ីនមេ Command-and-Control (C2) ដើម្បីទាញយកម៉ូឌុលទីបីដែលមិនស្គាល់ដែលក្លែងបន្លំជាកម្មវិធីកោសល្យវិច្ច័យ។

ការរកឃើញនៃ WyrmSpy និង DragonEgg បម្រើជាការរំលឹកដ៏គួរឱ្យភ្ញាក់ផ្អើលនៃការគំរាមកំហែងដែលកើនឡើងដែលបង្កឡើងដោយមេរោគ Android ដ៏ទំនើប។ កញ្ចប់ spyware ទាំងនេះតំណាងឱ្យការគម្រាមកំហែងដ៏មហិមា ដែលមានសមត្ថភាពប្រមូលទិន្នន័យយ៉ាងទូលំទូលាយពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដោយសម្ងាត់។ នៅពេលដែលទិដ្ឋភាពនៃមេរោគ Android កម្រិតខ្ពស់បន្តវិវឌ្ឍ វាកាន់តែមានសារៈសំខាន់សម្រាប់អ្នកប្រើប្រាស់ក្នុងការប្រុងប្រយ័ត្ន និងចាត់វិធានការសកម្មដើម្បីការពារឧបករណ៍ និងព័ត៌មានផ្ទាល់ខ្លួនរបស់ពួកគេ។ ការប្រើប្រាស់ដំណោះស្រាយសុវត្ថិភាពល្បីឈ្មោះ អនុវត្តការប្រុងប្រយ័ត្ននៅពេលដំឡើងកម្មវិធី និងការបន្តជូនដំណឹងអំពីការគំរាមកំហែងដែលកំពុងកើតឡើង គឺជាជំហានសំខាន់ក្នុងការកាត់បន្ថយហានិភ័យដែលបង្កឡើងដោយមេរោគតាមដានកម្រិតខ្ពស់បែបនេះ។