Chameleon Malware ចល័ត

ទម្រង់ថ្មីនៃ Android Trojan ដែលហៅថា 'Chameleon' ត្រូវបានរកឃើញកំណត់គោលដៅអ្នកប្រើប្រាស់ទាំងក្នុងប្រទេសអូស្ត្រាលី និងប៉ូឡូញ ចាប់តាំងពីដើមឆ្នាំ 2023 មក។ មេរោគពិសេសនេះត្រូវបានរចនាឡើងដើម្បីធ្វើត្រាប់តាមអង្គភាពស្របច្បាប់ដូចជា CoinSpot cryptocurrency exchange ដែលជាទីភ្នាក់ងាររដ្ឋាភិបាលអូស្ត្រាលី។ និងធនាគារ IKO ។

យោងតាមក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Cyble ការចែកចាយមេរោគទូរស័ព្ទនេះត្រូវបានគេជឿថាបានកើតឡើងតាមរយៈបណ្តាញផ្សេងៗ។ ទាំងនេះរួមមានគេហទំព័រដែលត្រូវបានសម្របសម្រួល ឯកសារភ្ជាប់នៅលើវេទិកាទំនាក់ទំនងដ៏ពេញនិយម Discord និងសេវាកម្មបង្ហោះដែលផ្តល់ដោយ Bitbucket ។ លើសពីនេះទៀត Chameleon Android trojan មានវិសាលគមទូលំទូលាយនៃសមត្ថភាពដែលបង្កគ្រោះថ្នាក់ ដែលរួមមានការលួចព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់តាមរយៈការចាក់ថ្នាំជាន់លើ និងការចាក់សោរ ក៏ដូចជាការប្រមូលខូឃី និងសារ SMS ពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

Chameleon អនុវត្តការត្រួតពិនិត្យប្រឆាំងការរកឃើញផ្សេងៗ

នៅពេលដំណើរការលើឧបករណ៍ Android ដែលបានបំពាន មេរោគ Chameleon mobile malware ប្រើបច្ចេកទេសជាច្រើនដើម្បីគេចពីការរកឃើញដោយកម្មវិធីសុវត្ថិភាព។ យុទ្ធសាស្ត្រទាំងនេះរួមមានការត្រួតពិនិត្យប្រឆាំងនឹងការត្រាប់តាម ដើម្បីកំណត់ថាតើឧបករណ៍នេះត្រូវបានឫសគល់ ឬអត់ ហើយប្រសិនបើការបំបាត់កំហុសត្រូវបានធ្វើឱ្យសកម្ម។ ប្រសិនបើការគំរាមកំហែងរកឃើញថាវាកំពុងដំណើរការនៅក្នុងបរិយាកាសរបស់អ្នកវិភាគ វាអាចលុបចោលដំណើរការឆ្លងទាំងស្រុង ដើម្បីជៀសវាងការរកឃើញ។

ប្រសិនបើវាកំណត់ថាបរិស្ថានមានសុវត្ថិភាព Chameleon ដំណើរការជាមួយកម្មវិធីព្យាបាទរបស់វា ហើយដាស់តឿនជនរងគ្រោះឱ្យអនុញ្ញាតឱ្យវាប្រើប្រាស់សេវាកម្មភាពងាយស្រួល។ បន្ទាប់មកការអនុញ្ញាតនេះត្រូវបានទាញយកដោយការគំរាមកំហែងដើម្បីផ្តល់សិទ្ធិបន្ថែមដល់ខ្លួនវា បិទ Google Play Protect និងការពារជនរងគ្រោះពីការលុប Trojan ។

អ្នកវាយប្រហារអាចអនុវត្តសកម្មភាពគំរាមកំហែងផ្សេងៗតាមរយៈមេរោគ Chameleon Mobile Malware

នៅពេលបង្កើតការតភ្ជាប់ជាមួយម៉ាស៊ីនមេ Command and Control (C2) មេរោគ Chameleon ចាប់ផ្តើមទំនាក់ទំនងដោយការផ្ញើកំណែ ម៉ូដែល ស្ថានភាពឫសគល់ ប្រទេស និងទីតាំងជាក់លាក់របស់ឧបករណ៍។ នេះ​ត្រូវ​បាន​គេ​ជឿ​ថា​ជា​ការ​ប៉ុនប៉ង​ដើម្បី​បង្ហាញ​ពី​ការ​ឆ្លង​មេរោគ​ថ្មី​នេះ​និង​កែសម្រួល​សកម្មភាព​របស់​វា​ស្រប​តាម។

ក្រោយមក អាស្រ័យលើអង្គភាពដែលមេរោគកំពុងក្លែងបន្លំ វាបើក URL ស្របច្បាប់នៅក្នុង WebView ហើយចាប់ផ្តើមការផ្ទុកម៉ូឌុលព្យាបាទនៅក្នុងផ្ទៃខាងក្រោយ។ ម៉ូឌុលទាំងនេះរួមមានអ្នកលួចខូគី អ្នកសរសេរសោ អ្នកបញ្ចូលទំព័របន្លំ អ្នកលួចកូដ PIN/លំនាំចាក់សោអេក្រង់ និងអ្នកលួចសារ SMS។ ក្រោយមកទៀតគឺពាក់ព័ន្ធជាពិសេសព្រោះវាអាចទាញយកពាក្យសម្ងាត់តែម្តងបាន ដោយហេតុនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារឆ្លងកាត់ការការពារការផ្ទៀងផ្ទាត់ពីរកត្តា។

ដើម្បីអនុវត្តសកម្មភាពប្រមូលទិន្នន័យរបស់វា មេរោគ Chameleon ពឹងផ្អែកលើការរំលោភលើសេវាភាពងាយស្រួល។ វាផ្តល់ឱ្យមេរោគនូវសមត្ថភាពក្នុងការត្រួតពិនិត្យមាតិកាអេក្រង់ រកឃើញព្រឹត្តិការណ៍ជាក់លាក់ កែប្រែធាតុចំណុចប្រទាក់ និងផ្ញើការហៅ API ចាំបាច់តាមតម្រូវការ។

មេរោគ Chameleon Mobile Malware បង្កើតភាពស្ថិតស្ថេរលើឧបករណ៍ដែលមានមេរោគ

បន្ថែមពីលើសកម្មភាពប្រមូលទិន្នន័យរបស់វា មេរោគ Chameleon ក៏ប្រើសេវាកម្មមធ្យោបាយងាយស្រួល ដើម្បីរារាំងការដកកម្មវិធីដែលមិនមានសុវត្ថិភាពចេញ។ វាសម្រេចវាដោយការត្រួតពិនិត្យការប៉ុនប៉ងលុបការដំឡើងដោយជនរងគ្រោះ និងលុបអថេរចំណូលចិត្តដែលបានចែករំលែកដែលទាក់ទងនឹងមេរោគ។ នេះធ្វើឱ្យវាហាក់ដូចជាកម្មវិធីត្រូវបានលុបចេញ នៅពេលដែលការពិតវានៅតែមាននៅលើឧបករណ៍។

លើសពីនេះ ក្រុមហ៊ុនសន្តិសុខតាមអ៊ីនធឺណិត Cyble បានរកឃើញកូដនៅក្នុង Chameleon ដែលអនុញ្ញាតឱ្យវាទាញយក payload ខណៈពេលកំពុងដំណើរការ ហើយរក្សាទុកវានៅលើឧបករណ៍ host ជាឯកសារ '.jar'។ ឯកសារនេះមានបំណងត្រូវបានប្រតិបត្តិនៅពេលក្រោយតាមរយៈ DexClassLoader ។ ទោះជាយ៉ាងណាក៏ដោយ មុខងារនេះហាក់ដូចជាមិនត្រូវបានប្រើប្រាស់ដោយមេរោគនោះទេ។