មេរោគ​ធនាគារ BeatBanker

BeatBanker គឺជាមេរោគ Android ដ៏ស្មុគស្មាញមួយដែលចែកចាយតាមរយៈគេហទំព័រក្លែងបន្លំ ដែលត្រូវបានរចនាឡើងដើម្បីធ្វើត្រាប់តាម Google Play Store។ យុទ្ធនាការព្យាបាទនេះបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកកម្មវិធីដែលហាក់ដូចជាស្របច្បាប់ ប៉ុន្តែតាមពិតវាផ្តល់ Trojan ធនាគារដ៏មានឥទ្ធិពលរួមផ្សំជាមួយនឹងសមត្ថភាពជីកយករូបិយប័ណ្ណគ្រីបតូ។ នៅពេលដែលដំឡើងរួច មេរោគនេះអាចលួចឧបករណ៍ដែលឆ្លងមេរោគ រៀបចំចំណុចប្រទាក់អ្នកប្រើប្រាស់ និងអនុវត្តប្រតិបត្តិការហិរញ្ញវត្ថុដែលគ្មានការអនុញ្ញាត។ ការដកចេញភ្លាមៗគឺចាំបាច់នៅពេលដែលការគំរាមកំហែងត្រូវបានរកឃើញ ព្រោះប្រតិបត្តិការបន្តអាចបណ្តាលឱ្យមានការខាតបង់ផ្នែកហិរញ្ញវត្ថុ ការរំលោភលើភាពឯកជន និងការសម្របសម្រួលឧបករណ៍រយៈពេលវែង។

ការប្រតិបត្តិដោយគ្មានឯកសារ និងបច្ចេកទេសប្រឆាំងការវិភាគ

ពេល​ប្រតិបត្តិ​កម្មវិធី BeatBanker ចាប់ផ្តើម​ដោយ​ប្រមូល​ព័ត៌មាន​បណ្តាញ​សំខាន់ៗ រួមទាំង​អាសយដ្ឋាន IP របស់​ឧបករណ៍ ប្រភេទ​ឧបករណ៍ ស្ថានភាព​ការប្រើប្រាស់ VPN និង​ព័ត៌មាន​លម្អិត​អំពី​ការតភ្ជាប់​ដែល​ពាក់ព័ន្ធ។ ជំនួស​ឲ្យ​ការ​រក្សាទុក​សមាសធាតុ​ព្យាបាទ​របស់​វា​ជា​ឯកសារ​នៅលើ​កន្លែង​ផ្ទុក​របស់​ឧបករណ៍ មេរោគ​ផ្ទុក​កូដ​របស់​វា​ដោយផ្ទាល់​ទៅក្នុង​អង្គចងចាំ។ បច្ចេកទេស​ប្រតិបត្តិ​ដោយ​គ្មាន​ឯកសារ​នេះ​កាត់បន្ថយ​យ៉ាងច្រើន​នូវ​លទ្ធភាព​នៃ​ការរកឃើញ​ដោយ​ឧបករណ៍​សុវត្ថិភាព​ចល័ត​បែប​ប្រពៃណី។

ដើម្បីគេចវេះការវិភាគបន្ថែមទៀត BeatBanker ពិនិត្យមើលថាតើវាកំពុងដំណើរការនៅក្នុងបរិយាកាសសាកល្បង ឬស្រាវជ្រាវដែរឬទេ ដូចជាកម្មវិធីត្រាប់តាម ឬប្រអប់ខ្សាច់។ ប្រសិនបើលក្ខខណ្ឌបែបនេះត្រូវបានរកឃើញ មេរោគនឹងបញ្ចប់ប្រតិបត្តិការរបស់វាភ្លាមៗ។ យន្តការការពារនេះជួយការពារអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត និងប្រព័ន្ធស្វ័យប្រវត្តិពីការវិភាគឥរិយាបថរបស់វា។

វិស្វកម្មសង្គមតាមរយៈទំព័រ Google Play Store ក្លែងក្លាយ

បន្ទាប់ពីឆ្លងកាត់ការត្រួតពិនិត្យបរិស្ថានរបស់វា BeatBanker បង្ហាញចំណុចប្រទាក់ក្លែងក្លាយដែលស្រដៀងនឹងទំព័រ Google Play Store សម្រាប់កម្មវិធីដែលមានស្លាក 'INSS Reembolso' ដោយអះអាងមិនពិតថាត្រូវការការអាប់ដេតកម្មវិធី។ នៅពេលដែលអ្នកប្រើប្រាស់ជ្រើសរើសជម្រើស 'អាប់ដេត' មេរោគនឹងស្នើសុំការអនុញ្ញាតឱ្យដំឡើងកម្មវិធី និងទាញយកសមាសធាតុព្យាបាទដែលលាក់កំបាំង។

ជំនួស​ឲ្យ​ការ​ពឹងផ្អែក​លើ​ហេដ្ឋារចនាសម្ព័ន្ធ Google Play ស្របច្បាប់ មេរោគ​នេះ​ដំឡើង​សមាសភាគ​ទាំងនេះ​ដោយ​ផ្ទាល់​ដោយ​រំលោភ​លើ​សិទ្ធិ​ដំឡើង​ដែល​មាន​កម្រិត។ ដើម្បី​រក្សា​និរន្តរភាព មេរោគ​នេះ​បង្កើត​ការ​ជូន​ដំណឹង​អំពី​ការ​អាប់ដេត​ប្រព័ន្ធ​បោកប្រាស់ ហើយ​ដំណើរការ​សេវាកម្ម​ផ្ទៃ​ខាងមុខ​ដែល​ចាក់​មេឌៀ​ដោយ​ស្ងាត់ៗ ដែល​ការពារ​ប្រព័ន្ធ​ប្រតិបត្តិការ​ពី​ការ​បញ្ចប់​ដំណើរការ​ព្យាបាទ។

ការជីកយករ៉ែរូបិយប័ណ្ណឌីជីថលលើឧបករណ៍ជនរងគ្រោះ

មួយក្នុងចំណោមបន្ទុកដែលលាក់កំបាំងរបស់ BeatBanker គឺជាអ្នកជីកយករូបិយប័ណ្ណគ្រីបតូដែលបានបង្កប់នៅក្នុងឯកសារដែលបានទាញយក។ សមាសភាគនេះគឺជាកំណែកែប្រែរបស់ XMRig ដែលត្រូវបានរចនាឡើងដើម្បីកេងប្រវ័ញ្ចធនធាន CPU របស់ឧបករណ៍ដែលឆ្លងមេរោគដើម្បីជីកយករូបិយប័ណ្ណគ្រីបតូក្នុងនាមអ្នកវាយប្រហារ។

មេរោគនេះគ្រប់គ្រងសកម្មភាពរុករករ៉ែដោយឆ្លាតវៃដោយតាមដានប៉ារ៉ាម៉ែត្រប្រព័ន្ធដូចជាកម្រិតថ្ម សីតុណ្ហភាពឧបករណ៍ និងសកម្មភាពអ្នកប្រើប្រាស់។ ដោយផ្អែកលើលក្ខខណ្ឌទាំងនេះ ឧបករណ៍រុករករ៉ែអាចចាប់ផ្តើម ឬផ្អាកប្រតិបត្តិការរបស់វាដោយស្វ័យប្រវត្តិ ដើម្បីកាត់បន្ថយការសង្ស័យ និងពន្យារការឆ្លង។

យន្តការលួចយករូបិយប័ណ្ណគ្រីបតូ និង Trojan របស់ធនាគារ

រួមជាមួយនឹងសមត្ថភាព cryptomining ផងដែរ BeatBanker ដាក់ពង្រាយ banking Trojan ដែលព្យាយាមទទួលបានសិទ្ធិចូលប្រើ។ ការផ្តល់សិទ្ធិទាំងនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងចំណុចប្រទាក់របស់ឧបករណ៍ និងតាមដានអន្តរកម្មរបស់អ្នកប្រើប្រាស់។

មេរោគនេះតាមដានយ៉ាងសកម្មនូវកម្មវិធីណាដែលត្រូវបានបើក ហើយកំណត់គោលដៅជាពិសេសលើវេទិការូបិយប័ណ្ណគ្រីបតូដូចជា Binance និង Trust Wallet ដោយផ្តោតជាពិសេសលើប្រតិបត្តិការ USDT។ នៅពេលដែលជនរងគ្រោះចាប់ផ្តើមការផ្ទេរប្រាក់ BeatBanker នឹងដាក់លើចំណុចប្រទាក់ប្រតិបត្តិការស្របច្បាប់ជាមួយនឹងអេក្រង់ក្លែងបន្លំ។ ក្នុងអំឡុងពេលដំណើរការនេះ មេរោគនេះជំនួសអាសយដ្ឋានអ្នកទទួលដែលចង់បានដោយស្ងាត់ៗជាមួយនឹងអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលបណ្តាលឱ្យប្រាក់ត្រូវបានបញ្ជូនបន្តដោយមិនដឹងខ្លួនរបស់ជនរងគ្រោះ។

ម៉ូឌុលធនាគារក៏វាយតម្លៃវត្តមាននៃកម្មវិធីរុករកតាមទូរស័ព្ទជាច្រើនដែលត្រូវបានគេប្រើជាទូទៅ និងប្រមូលព័ត៌មានរុករកផងដែរ។ វាអាចរៀបចំតំណភ្ជាប់ដែលបានរក្សាទុកនៅក្នុងកម្មវិធីរុករកលំនាំដើមដោយបន្ថែម កែសម្រួល លុប ឬរាយបញ្ជីធាតុ ហើយវាអាចបើក URL ដែលផ្គត់ផ្គង់ដោយអ្នកវាយប្រហារ។

សមត្ថភាពបញ្ជា និងគ្រប់គ្រង និងការរៀបចំឧបករណ៍

BeatBanker ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យ (C2) ដែលអនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលឆ្លងមេរោគពីចម្ងាយ និងចេញពាក្យបញ្ជា។ តាមរយៈហេដ្ឋារចនាសម្ព័ន្ធនេះ មេរោគអាចអនុវត្តសកម្មភាពព្យាបាទជាច្រើនប្រភេទ រួមទាំងការបង្ហាញការអាប់ដេតប្រព័ន្ធក្លែងក្លាយ ការចាក់សោអេក្រង់ឧបករណ៍ ការទាញយកខ្លឹមសារក្ដារតម្បៀតខ្ទាស់ និងការបញ្ជូនការថតសំឡេងទៅកាន់អ្នកគំរាមកំហែង។

សមត្ថភាពបន្ថែមរួមមានសមត្ថភាពក្នុងការផ្ញើសារ SMS បើកតំណភ្ជាប់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារនៅក្នុងកម្មវិធីរុករក ធ្វើបច្ចុប្បន្នភាពព័ត៌មានសម្ងាត់ដែលបានរក្សាទុក និងរាយបញ្ជីឯកសារដែលរក្សាទុកនៅលើឧបករណ៍។ មេរោគក៏អាចអនុវត្តសកម្មភាពបំផ្លិចបំផ្លាញដូចជាការលុបឯកសារ ការចាប់ផ្តើមកំណត់ឡើងវិញពីរោងចក្រ ឬការលុបការដំឡើងខ្លួនឯងដើម្បីលុបដានបន្ទាប់ពីបញ្ចប់ប្រតិបត្តិការ។

មុខងារឃ្លាំមើល និងការបន្សុទ្ធទិន្នន័យ

ក្រៅពីការលួចហិរញ្ញវត្ថុ BeatBanker មានមុខងារជាឧបករណ៍ឃ្លាំមើលយ៉ាងទូលំទូលាយ។ វាមានសមត្ថភាពថតការចុចគ្រាប់ចុច ស្រង់អត្ថបទដែលបង្ហាញនៅលើអេក្រង់ ថតរូបថតអេក្រង់ និងផ្សាយអេក្រង់ឧបករណ៍ក្នុងពេលជាក់ស្តែង។ ការត្រួតពិនិត្យជាបន្តបន្ទាប់នៃកម្មវិធីដែលកំពុងដំណើរការអនុញ្ញាតឱ្យអ្នកវាយប្រហារសង្កេតមើលឥរិយាបថរបស់អ្នកប្រើប្រាស់ និងប្រមូលព័ត៌មានរសើប។

មេរោគនេះក៏មានយន្តការគ្រប់គ្រងឧបករណ៍បន្ថែមផងដែរ រួមទាំងការត្រួតពិនិត្យកម្មវិធី ជញ្ជាំងភ្លើងដែលភ្ជាប់មកជាមួយដែលអាចរារាំង ឬអនុញ្ញាតកម្មវិធីដែលបានជ្រើសរើស ការបង្កើតការជូនដំណឹងជាប់លាប់ និងសមត្ថភាពក្នុងការគ្រប់គ្រងការតភ្ជាប់ VPN។

ការរំលោភបំពានការអនុញ្ញាត និងយន្តការអចិន្ត្រៃយ៍

BeatBanker ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើការអនុញ្ញាត Android ដែលមានហានិភ័យខ្ពស់ ដែលពង្រីកការគ្រប់គ្រងរបស់ខ្លួនលើឧបករណ៍យ៉ាងច្រើន។ ការអនុញ្ញាតទាំងនេះអនុញ្ញាតឱ្យមេរោគរក្សាបាននូវភាពស្ថិតស្ថេរ ស្វ័យប្រវត្តិកម្មសកម្មភាព និងប្រតិបត្តិពាក្យបញ្ជាដោយមិនចាំបាច់ឱ្យអ្នកប្រើប្រាស់ដឹង។

សមត្ថភាពសំខាន់ៗដែលបានបើកដោយការអនុញ្ញាតទាំងនេះរួមមាន៖

• ការចូលប្រើប្រាស់សម្រាប់ភាពងាយស្រួលចូលប្រើប្រាស់ ដែលអនុញ្ញាតឱ្យមានការប៉ះ ការអូស និងការរៀបចំចំណុចប្រទាក់ដោយស្វ័យប្រវត្តិ
• ការអនុញ្ញាត​ត្រួត​លើ​ដែល​អនុញ្ញាត​ឱ្យ​អេក្រង់​ក្លែងក្លាយ​លេចឡើង​លើ​កម្មវិធី​ស្របច្បាប់
• ការអនុញ្ញាតឱ្យដំឡើងកម្មវិធីពីប្រភពដែលមិនស្គាល់ ដែលអនុញ្ញាតឱ្យដំឡើងសមាសធាតុព្យាបាទបន្ថែមដោយស្ងៀមស្ងាត់
• សមត្ថភាពក្នុងការបើកតំណភ្ជាប់ ប្រតិបត្តិលេខកូដ USSD និងដាក់ពង្រាយកញ្ចប់មេរោគបន្ថែមទៀត

សិទ្ធិទាំងនេះប្រែក្លាយឧបករណ៍ដែលឆ្លងមេរោគទៅជាវេទិកាដែលគ្រប់គ្រងពីចម្ងាយដែលមានសមត្ថភាពអនុវត្តប្រតិបត្តិការព្យាបាទស្មុគស្មាញ។

វ៉ារ្យ៉ង់ដែលកំពុងលេចចេញជាកម្មវិធី StarLink

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណមេរោគ BeatBanker ជំនាន់ថ្មីដែលក្លែងបន្លំជាកម្មវិធី StarLink ក្លែងក្លាយដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Android។ មិនដូចជំនាន់មុនៗទេ មេរោគនេះមិនដំឡើងសមាសធាតុ Trojan ធនាគារបែបប្រពៃណីទេ។

ផ្ទុយទៅវិញ វាដាក់ពង្រាយមេរោគ BTMOB remote administration Trojan (RAT)។ BTMOB ផ្តល់សិទ្ធិចូលប្រើពីចម្ងាយពេញលេញដល់អ្នកវាយប្រហារទៅកាន់ឧបករណ៍ដែលរងការគំរាមកំហែង ហើយត្រូវបានចែកចាយជា Malware-as-a-Service (MaaS) ដែលអនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតទិញ និងដាក់ពង្រាយឧបករណ៍នេះដោយមិនចាំបាច់បង្កើតហេដ្ឋារចនាសម្ព័ន្ធមេរោគផ្ទាល់ខ្លួនរបស់ពួកគេ។

វ៉ិចទ័រឆ្លង និងផលប៉ះពាល់ប្រតិបត្តិការ

ការឆ្លងមេរោគ BeatBanker ជាធម្មតាចាប់ផ្តើមជាមួយនឹងយុទ្ធនាការបន្លំ (phishing) ដែលដឹកនាំជនរងគ្រោះទៅកាន់គេហទំព័រក្លែងបន្លំដែលត្រូវបានរចនាឡើងដើម្បីស្រដៀងនឹង Google Play Store ផ្លូវការ។ អ្នកប្រើប្រាស់ត្រូវបានបញ្ចុះបញ្ចូលឱ្យទាញយកកម្មវិធីព្យាបាទដែលក្លែងបន្លំជាសេវាកម្មទាក់ទងនឹងរដ្ឋាភិបាលដូចជា 'INSS Reembolso' ឬកម្មវិធីប្រើប្រាស់ក្លែងក្លាយស្រដៀងគ្នា។

ឧបករណ៍មួយនឹងក្លាយទៅជាឧបករណ៍លួចចូល នៅពេលដែលជនរងគ្រោះដំឡើងកម្មវិធីក្លែងក្លាយ។ បន្ទាប់ពីការធ្វើឱ្យសកម្ម BeatBanker ទាញយកសមាសធាតុបន្ថែម រួមទាំងឧបករណ៍ជីកយករូបិយប័ណ្ណគ្រីបតូ ហើយបង្កើតការចូលប្រើឧបករណ៍ជាអចិន្ត្រៃយ៍។

សមត្ថភាពរួមបញ្ចូលគ្នារបស់មេរោគនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារជីកយករូបិយប័ណ្ណគ្រីបតូ លួចទិន្នន័យហិរញ្ញវត្ថុ រៀបចំប្រតិបត្តិការ និងរក្សាការគ្រប់គ្រងពីចម្ងាយលើឧបករណ៍ដែលឆ្លងមេរោគ។ វ៉ារ្យ៉ង់មួយចំនួនក៏ដាក់ពង្រាយមេរោគបន្ថែមដូចជា BTMOB ដែលផ្តល់ឱ្យគូប្រជែងនូវការចូលប្រើប្រព័ន្ធដែលរងការសម្របសម្រួលរយៈពេលយូរ និងគ្មានការរឹតត្បិត។