BankBot RAT

BankBot គឺជា Trojan ដែលអាចចូលប្រើពីចម្ងាយ Android ដ៏មានអានុភាព ដែលនៅពេលដំឡើងរួច អាចចាប់យកការគ្រប់គ្រងយ៉ាងទូលំទូលាយនៃឧបករណ៍មួយ។ វាប្រើប្រាស់មុខងារភាពងាយស្រួលរបស់ Android ដើម្បីបង្កើនសិទ្ធិ ធ្វើឱ្យសកម្មភាពចំណុចប្រទាក់អ្នកប្រើដោយស្វ័យប្រវត្តិ ប្រមូលព័ត៌មានរសើប និងអនុវត្តប្រតិបត្តិការដែលគ្មានការអនុញ្ញាតដែលអាចនាំឱ្យមានការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុ ការលួចអត្តសញ្ញាណ និងការដាក់ឱ្យប្រើប្រាស់មេរោគ។ ការឆ្លងណាមួយដែលបានបញ្ជាក់ទាមទារឱ្យមានការព្យាបាលជាបន្ទាន់។

ការបំបាំងកាយ និងទម្រង់ឧបករណ៍

BankBot យ៉ាងសកម្មជៀសវាងការវិភាគ និងកំណត់គោលដៅតែបរិយាកាសដែលបានជ្រើសរើសប៉ុណ្ណោះ។ វាអនុវត្តការត្រួតពិនិត្យកម្មវិធីត្រាប់តាម និងប្រអប់ខ្សាច់ ពិនិត្យមើលលក្ខណៈឧបករណ៍ (បង្កើត ម៉ូដែល ROM) និងកែតម្រូវឥរិយាបថរបស់វា ដូច្នេះវាដំណើរការលើឧបករណ៍ពិតដែលបានជ្រើសរើស ខណៈពេលដែលនៅស្ងៀម ឬគេចចេញពីបរិស្ថានមន្ទីរពិសោធន៍។ មេរោគនេះក៏ប្រមូល និងកត់ត្រា telemetry របស់ឧបករណ៍ — កំណែ Android និង build, ម៉ាក និងម៉ូដែល, ក្រុមហ៊ុនផលិត, hardware និង build IDs, និង product name — ដើម្បី profile targets និងរំលងឧបករណ៍ដែលមិនគាំទ្រ។

ការទទួលបានការគ្រប់គ្រង៖ ការរំលោភបំពានលទ្ធភាពប្រើប្រាស់ និងការបន្តស្ងៀមស្ងាត់

យុទ្ធសាស្ត្រស្នូលគឺការបំពានលើសេវាកម្មមធ្យោបាយងាយស្រួល។ BankBot អាចបើកការកំណត់លទ្ធភាពប្រើប្រាស់ និងរៀបចំសង្គមឱ្យអ្នកប្រើប្រាស់ក្នុងការបើកសេវាកម្មភាពងាយស្រួលដែលមានគំនិតអាក្រក់។ ដោយមានការអនុញ្ញាតនោះ វាអាចធ្វើការចុចដោយស្វ័យប្រវត្តិ បញ្ចូលអត្ថបទ បើកការអនុញ្ញាតផ្សេងទៀត និងអនុវត្តសកម្មភាពដោយគ្មានការយល់ព្រមពីអ្នកប្រើប្រាស់។ វាក៏អាចទទួលបានសិទ្ធិជាអ្នកគ្រប់គ្រងឧបករណ៍ផងដែរ។ ដើម្បីរស់រានមានជីវិតពីការចាប់ផ្ដើមឡើងវិញ និងរក្សាការចូលប្រើប្រាស់រយៈពេលវែង មេរោគនេះកំណត់កាលវិភាគនៃកិច្ចការដែលកើតឡើងដដែលៗ (ប្រហែលរៀងរាល់ 30 វិនាទី) ដែលទាមទារការតភ្ជាប់បណ្តាញ ហើយបន្តដំណើរការលើការចាប់ផ្ដើមឧបករណ៍ឡើងវិញ។

សមត្ថភាព - អ្វីដែល BankBot អាចធ្វើបាន

សំណុំលក្ខណៈពិសេសរបស់ BankBot ផ្តល់ឱ្យវានូវការគ្រប់គ្រងជិតពេញលេញនៃទូរស័ព្ទដែលមានមេរោគ។ សមត្ថភាពសំខាន់ៗរួមមាន៖ ការបិទសំឡេងប្រព័ន្ធ ដើម្បីទប់ស្កាត់ការជូនដំណឹង (សំឡេងរោទ៍ ការជូនដំណឹង ប្រព័ន្ធផ្សព្វផ្សាយ) ការបង្ហាញការជូនដំណឹងក្លែងក្លាយពេញអេក្រង់ (ឧទាហរណ៍ 'ការផ្ទៀងផ្ទាត់ព័ត៌មានផ្ទាល់ខ្លួន') ដើម្បីរំខានជនរងគ្រោះ ខណៈពេលដែលវាដំណើរការការអនុញ្ញាត និងបើកសេវាកម្ម និងស្ថានភាពអ្នកគ្រប់គ្រងដោយស្ងៀមស្ងាត់។ វាអាចបើក ឬបិទកម្មវិធីតាមកម្មវិធី ធ្វើឱ្យអេក្រង់ស្រស់ ក្លែងធ្វើការប៉ះ និងអូស ដោះសោអេក្រង់ គ្រប់គ្រងការបញ្ជូនបន្តការហៅទូរសព្ទ ផ្ញើសារ SMS ដំឡើង ឬលុប APKs ទាញយកឯកសារ ថតរូប និងរូបថតអេក្រង់ លាក់បង្អួច និងកំណត់អត្ថបទទៅក្នុងប្រអប់បញ្ចូល។ មេរោគក៏អាចអានក្ដារតម្បៀតខ្ទាស់ Android និងបណ្តេញចេញនូវមាតិការបស់វា — លាតត្រដាងពាក្យសម្ងាត់ ឃ្លាគ្រាប់ពូជ និងអាថ៌កំបាំងផ្សេងទៀត — ហើយវាចាប់យកទំនាក់ទំនង សារ SMS បញ្ជីកម្មវិធីដែលបានដំឡើង ស្ថានភាពឧបករណ៍ និងទីតាំងភូមិសាស្ត្រ។

ការកំណត់គោលដៅធនាគារ និងគ្រីបតូ - កម្មវិធីណាដែលមានហានិភ័យ

BankBot ទទួលបានការណែនាំពីម៉ាស៊ីនមេបញ្ជា និងគ្រប់គ្រងដែលផ្គត់ផ្គង់បញ្ជីកម្មវិធីហិរញ្ញវត្ថុ និងធនាគារដើម្បីកំណត់គោលដៅសម្រាប់ការលួចព័ត៌មានសម្ងាត់ ឬប្រតិបត្តិការក្លែងបន្លំ។ វាក៏កំណត់គោលដៅជាពិសេសទៅលើកាបូបលុយគ្រីបតូជាច្រើនដោយធ្វើស្វ័យប្រវត្តិកម្ម UI របស់កម្មវិធីកាបូបតាមរយៈមធ្យោបាយងាយស្រួលដើម្បីអានវត្ថុបុរាណដែលរសើបដូចជាឃ្លាគ្រាប់ពូជ សោឯកជន ឬព័ត៌មានលម្អិតអំពីប្រតិបត្តិការ។ ឧទាហរណ៍នៃគោលដៅកាបូបដែលបានសង្កេតរួមមាន:

• AUTOS, Bitcoin, BitKeep, Blockchain wallet, Coin98 Super Wallet, Coinomi, Exodus, imToken, Krystal, MetaMask, MeWallet, SafePal, ស្ថានភាព (Ethereum Crypto Wallet), TokenPocket, Trust Wallet, Valor ។

បច្ចេកទេសបោកប្រាស់ និងការក្លែងបន្លំកម្មវិធី

ដើម្បីកាត់បន្ថយការសង្ស័យ ធនាគារ BankBot អាចផ្លាស់ប្តូររូបតំណាង និងឈ្មោះរបស់វាដើម្បីក្លែងបន្លំសេវាកម្មស្របច្បាប់ (ឧទាហរណ៍ បង្ហាញខ្លួនវាជា Google News) ហើយបន្ទាប់មកបើកមាតិកាគេហទំព័រដែលមើលទៅគួរឱ្យទុកចិត្តនៅខាងក្នុង WebView ។ ការផ្លាស់ប្តូរគ្រឿងសម្អាងទាំងនេះ រួមជាមួយនឹងការជម្រុញដូច reCAPTCHA ក្លែងក្លាយ ឬប្រអប់ផ្ទៀងផ្ទាត់ពេញអេក្រង់ ត្រូវបានប្រើដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យផ្តល់ការអនុញ្ញាត ឬធ្វើអន្តរកម្មជាមួយកម្មវិធី ខណៈដែលសកម្មភាពព្យាបាទដំណើរការនៅផ្ទៃខាងក្រោយ។

របៀបដែលអ្នកប្រើប្រាស់ជាធម្មតាចុះចតនៅលើ BankBot

ក្នុងករណីជាច្រើន ជនរងគ្រោះបានដំឡើង BankBot ដោយខ្លួនឯង បន្ទាប់ពីត្រូវបានបោកប្រាស់។ ផ្លូវឆ្លងទូទៅរួមមានៈ

• Sideloading APKs ពីគេហទំព័រដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ឬហាងភាគីទីបី។
• កម្មវិធីក្លែងក្លាយ ឬព្យាបាទបានចែកចាយតាមរយៈឃ្លាំងកម្មវិធីដែលមិនគួរឱ្យទុកចិត្ត។
• ការ​ដំឡើង​ដោយ​ដ្រាយ​ឬ​ការ​ទាញ​យក​ពី​ការ​ផ្សាយ​ពាណិជ្ជកម្ម​បោក​បញ្ឆោត​និង​លេច​ឡើង​នៅ​លើ​គេហទំព័រ​គួរ​ឱ្យ​សង្ស័យ​។
• តំណភ្ជាប់ក្នុងសារ SMS កម្មវិធីផ្ញើសារ ឬអ៊ីមែលបន្លំ។

វិស្វកម្មសង្គមគឺជាចំណុចកណ្តាលនៃការចែកចាយ៖ ឧក្រិដ្ឋជនបង្កើតល្បិចបញ្ចុះបញ្ចូលដើម្បីបញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យទាញយក និងដំណើរការមេរោគ។

ហានិភ័យ និងផលប៉ះពាល់ដែលរំពឹងទុក

ឧបករណ៍ដែលមានមេរោគអាចទទួលរងការកាន់កាប់គណនី ប្រតិបត្តិការហិរញ្ញវត្ថុដោយគ្មានការអនុញ្ញាត ការលួចអត្តសញ្ញាណ និងការបាត់បង់ភាពឯកជន។ ការរួមបញ្ចូលគ្នានៃការរំលោភបំពានលទ្ធភាពប្រើប្រាស់ ការរក្សាភាពស្ងៀមស្ងាត់ ទម្រង់ឧបករណ៍ និងការវាយប្រហារជាគោលដៅប្រឆាំងនឹងកម្មវិធីធនាគារ និងគ្រីបតូ ធ្វើឱ្យ BankBot មានគ្រោះថ្នាក់ជាពិសេសសម្រាប់អ្នកប្រើប្រាស់ដែលមានកម្មវិធីហិរញ្ញវត្ថុ ឬកាបូបលុយគ្រីបនៅលើទូរស័ព្ទរបស់ពួកគេ។

វិធានការទប់ស្កាត់ និងសង្គ្រោះបន្ទាន់

ការបង្ការ

រក្សាប្រព័ន្ធប្រតិបត្តិការ និងកម្មវិធីរបស់ឧបករណ៍ឱ្យទាន់សម័យ ជៀសវាងការផ្ទុក APKs ចំហៀង ឬការដំឡើងកម្មវិធីពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត បិទការដំឡើងដោយស្វ័យប្រវត្តិពីប្រភពមិនស្គាល់ មានការសង្ស័យចំពោះសារដែលសួរអ្នកឱ្យបើកលទ្ធភាពប្រើប្រាស់ ឬមុខងារគ្រប់គ្រងឧបករណ៍ និងប្រើផលិតផលសុវត្ថិភាពចល័តដែលអាចទុកចិត្តបាន ដែលអាចរកឃើញ និងលុប Trojans និង Adware ។ អប់រំអ្នកប្រើប្រាស់ និងនិយោជិតអំពីយុទ្ធសាស្ត្រវិស្វកម្មសង្គម ដែលសម្រួលដល់ការផ្ទុកចំហៀង និងការអនុញ្ញាត។

សេចក្តីសង្ខេប - ចាត់ទុក BankBot ជាហានិភ័យខ្ពស់។

BankBot គឺជាប្រព័ន្ធប្រតិបត្តិការ Android RAT ដែលសំបូរទៅដោយមុខងារបំបាំងកាយ ដែលរួមបញ្ចូលការបំពានលទ្ធភាពប្រើប្រាស់ ការត្រួតពិនិត្យបរិស្ថាន កិច្ចការដែលបានកំណត់ពេលជាប់លាប់ ការធ្វើស្វ័យប្រវត្តិកម្ម UI និងការលួចគោលដៅនៃទ្រព្យសម្បត្តិធនាគារ និងគ្រីបតូ។ ដោយសារតែសក្តានុពលនៃគ្រោះថ្នាក់ផ្នែកហិរញ្ញវត្ថុ និងឯកជនភាពធ្ងន់ធ្ងរ ការឆ្លងមេរោគដែលសង្ស័យគួរតែត្រូវបានចាត់ទុកជាបន្ទាន់៖ លុបមេរោគ ធានាគណនីពីឧបករណ៍ស្អាត និងចាត់វិធានការបង្ការខាងលើ ដើម្បីកាត់បន្ថយការប៉ះពាល់នាពេលអនាគត។