មេរោគ AridSpy Mobile
ក្រុមគំរាមកំហែងតាមអ៊ីនធឺណែតដែលគេស្គាល់ថា AridViper គឺនៅពីក្រោយប្រតិបត្តិការចារកម្មទូរស័ព្ទជាបន្តបន្ទាប់ដែលប្រើប្រាស់កម្មវិធី Android ដែលត្រូវបាន Trojanized ដើម្បីចែកចាយបំរែបំរួល spyware ដែលមានឈ្មោះថា AridSpy ។ កម្មវិធីគម្រាមកំហែងទាំងនេះត្រូវបានបង្ហោះនៅលើគេហទំព័របញ្ឆោតដែលដាក់ជាកម្មវិធីផ្ញើសារស្របច្បាប់ វេទិកាស្វែងរកការងារ និងសូម្បីតែកម្មវិធីចុះបញ្ជីរដ្ឋប្បវេណីប៉ាឡេស្ទីន។ ក្នុងករណីជាច្រើន កម្មវិធីស្របច្បាប់ត្រូវបានសម្របសម្រួលដោយការរួមបញ្ចូលកូដអាក្រក់របស់ AridSpy ។
តារាងមាតិកា
AridViper មានប្រវត្តិដ៏យូរនៃការគំរាមកំហែងពីមេរោគទូរស័ព្ទ
Arid Viper ដែលត្រូវបានគេស្គាល់ផងដែរថា APT-C-23 , Desert Falcon, Grey Karkadann, Mantis និង Two-tailed Scorpion ត្រូវបានគេជឿថាមានទំនាក់ទំនងជាមួយក្រុមហាម៉ាស។ ចាប់តាំងពីការលេចចេញជារូបរាងក្នុងឆ្នាំ 2017 ក្រុមនេះបានប្រើប្រាស់មេរោគទូរសព្ទចល័តជាបន្តបន្ទាប់សម្រាប់ប្រតិបត្តិការរបស់ខ្លួន។ ជាប្រវត្តិសាស្ត្រ Arid Viper បានកំណត់គោលដៅលើបុគ្គលិកយោធា អ្នកកាសែត និងអ្នកប្រឆាំងនៅមជ្ឈិមបូព៌ា។ ក្រុមនេះនៅតែបន្តសកម្ម ហើយបន្តបង្កការគំរាមកំហែងនៅក្នុងដែនមេរោគតាមទូរស័ព្ទ។
សកម្មភាពថ្មីៗបន្ថែមទៀតបានបន្តចាប់តាំងពីឆ្នាំ 2022 ដែលរួមមានយុទ្ធនាការចំនួនប្រាំផ្សេងគ្នា។ បច្ចុប្បន្ននេះ យុទ្ធនាការបីក្នុងចំណោមយុទ្ធនាការទាំងនេះនៅតែសកម្ម។
AridSpy ត្រូវបានរីករាលដាលតាមរយៈកម្មវិធីទូរស័ព្ទក្លែងក្លាយដែលបង្កើតឡើងដោយតួអង្គគំរាមកំហែង
ការវិភាគនៃការធ្វើឡើងវិញចុងក្រោយបង្អស់របស់ AridSpy បង្ហាញពីការវិវត្តរបស់វាទៅជា Trojan ពហុដំណាក់កាល ដែលមានសមត្ថភាពទាញយកបន្ទុកបន្ថែមពីម៉ាស៊ីនមេ Command-and-Control (C2) តាមរយៈកម្មវិធី trojanized ដំបូង។ ការវាយប្រហារនេះផ្តោតជាចម្បងទៅលើអ្នកប្រើប្រាស់នៅប៉ាឡេស្ទីន និងអេហ្ស៊ីប ដោយប្រើប្រាស់គេហទំព័រក្លែងក្លាយជាចំណុចចែកចាយសម្រាប់កម្មវិធីដែលត្រូវបានសម្របសម្រួល។
កម្មវិធីបោកបញ្ឆោតទាំងនេះជារឿយៗបង្កជាសេវាកម្មផ្ញើសារដែលមានសុវត្ថិភាពដូចជា LapizaChat, NortirChat, និង ReblyChat ដោយធ្វើត្រាប់តាមវេទិកាស្របច្បាប់ដូចជា StealthChat, Session និង Voxer Walkie Talkie Messenger ជាដើម។ លើសពីនេះ កម្មវិធីមួយទៀត ក្លែងបន្លំជា បញ្ជីឈ្មោះស៊ីវិល ប៉ាឡេស្ទីន។
គេហទំព័រមួយក្នុងចំណោមគេហទំព័រទាំងនេះ palcivilreg.com ដែលបានចុះឈ្មោះនៅថ្ងៃទី 30 ខែឧសភា ឆ្នាំ 2023 ត្រូវបានផ្សព្វផ្សាយតាមរយៈទំព័រ Facebook ដែលមានអ្នកតាមដានចំនួន 179 នាក់។ កម្មវិធីដែលផ្តល់ជូននៅលើគេហទំព័រនេះត្រូវបានយកគំរូតាមកម្មវិធីដែលមានឈ្មោះស្រដៀងគ្នាដែលបានរកឃើញនៅលើ Google Play Store ។
ទោះបីជាកម្មវិធីគំរាមកំហែងនៅលើ palcivilreg.com មិនមែនជាច្បាប់ចម្លងផ្ទាល់នៃកំណែ Google Play Store ក៏ដោយ វាប្រើប្រាស់ម៉ាស៊ីនមេរបស់កម្មវិធីស្របច្បាប់ដើម្បីប្រមូលទិន្នន័យ។ នេះបង្ហាញថា Arid Viper ទាក់ទាញការបំផុសគំនិតពីមុខងាររបស់កម្មវិធីស្របច្បាប់ ប៉ុន្តែបានបង្កើតស្រទាប់អតិថិជនរបស់ខ្លួនដើម្បីធ្វើអន្តរកម្មជាមួយម៉ាស៊ីនមេពិតប្រាកដ។
ខ្សែសង្វាក់វាយប្រហារនៃមេរោគ AridSpy Mobile Malware
នៅពេលដំឡើងកម្មវិធីព្យាបាទស្កេនរកកម្មវិធីសុវត្ថិភាពនៅលើឧបករណ៍ដោយផ្អែកលើបញ្ជីដែលបានកំណត់ជាមុន។ ប្រសិនបើរកមិនឃើញទេ វានឹងបន្តទាញយកកម្មវិធីបង់ប្រាក់ដំណាក់កាលដំបូង ដែលក្លែងបន្លំជាការអាប់ដេតសម្រាប់សេវាកម្ម Google Play ។
payload នេះដំណើរការដោយឯករាជ្យ មិនតម្រូវឱ្យមានវត្តមានរបស់កម្មវិធី Trojanized នៅលើឧបករណ៍តែមួយនោះទេ។ ដូច្នេះ ការលុបកម្មវិធី Trojanized ដំបូងដូចជា LapizaChat មិនប៉ះពាល់ដល់ AridSpy ទេ។ មុខងារចម្បងនៃ payload ដំណាក់កាលទីមួយគឺទាញយកសមាសភាគដំណាក់កាលបន្ទាប់ ដែលមានមុខងារបង្កគ្រោះថ្នាក់ និងទំនាក់ទំនងជាមួយដែន Firebase សម្រាប់គោលបំណង Command-and-Control (C2)។
មេរោគនេះត្រូវបានបំពាក់ដោយពាក្យបញ្ជាផ្សេងៗដើម្បីទាញយកទិន្នន័យពីឧបករណ៍ដែលមានមេរោគ ហើយអាចបិទដំណើរការដោយខ្លួនវា ឬចាប់ផ្តើមការស្រង់ទិន្នន័យនៅពេលភ្ជាប់ទៅគម្រោងទិន្នន័យចល័ត។ ការទាញយកទិន្នន័យកើតឡើងតាមរយៈពាក្យបញ្ជាជាក់លាក់ ឬព្រឹត្តិការណ៍ដែលបានកេះ។
ឧទាហរណ៍ នៅពេលដែលជនរងគ្រោះចាក់សោ ឬដោះសោទូរសព្ទ AridSpy ចាប់យករូបភាពដោយប្រើកាមេរ៉ាខាងមុខ ហើយផ្ញើវាទៅម៉ាស៊ីនមេ C&C exfiltration ។ ទោះជាយ៉ាងណាក៏ដោយ រូបភាពត្រូវបានថតបានលុះត្រាតែវាមានរយៈពេលលើសពី 40 នាទីចាប់តាំងពីរូបភាពចុងក្រោយត្រូវបានថត ហើយកម្រិតថ្មគឺលើសពី 15% ។
