មេរោគ DocSwap ចល័ត

ការប្រុងប្រយ័ត្នចំពោះការគំរាមកំហែងតាមទូរស័ព្ទចល័តដែលកំពុងវិវត្តគឺមានសារៈសំខាន់ ខណៈដែលតួអង្គដែលមានទំនាក់ទំនងជាមួយរដ្ឋបន្តកែលម្អបច្ចេកទេសវិស្វកម្មសង្គម និងចែកចាយមេរោគ។ យុទ្ធនាការថ្មីៗនេះដែលសន្មតថាជារបស់ក្រុមកូរ៉េខាងជើង Kimsuky បានបង្ហាញពីរបៀបដែលអ្នកវាយប្រហារកំពុងលាយបញ្ចូលគ្នានូវការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិក លេខកូដ QR និងកម្មវិធី Android ដែលបានលួចចូលប្រព័ន្ធ ដើម្បីលួចយកឧបករណ៍របស់ជនរងគ្រោះ។

យុទ្ធនាការ Android ចុងក្រោយបង្អស់របស់ Kimsuky ត្រូវបានបង្ហាញ

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខបានភ្ជាប់ Kimsuky ទៅនឹងប្រតិបត្តិការថ្មីមួយដែលចែកចាយមេរោគ Android ថ្មីមួយប្រភេទដែលគេស្គាល់ថា DocSwap។ យុទ្ធនាការនេះរំលោភបំពានគេហទំព័របន្លំបន្លំដោយក្លែងបន្លំជាក្រុមហ៊ុនដឹកជញ្ជូនល្បីឈ្មោះ CJ Logistics ដែលមានមូលដ្ឋាននៅទីក្រុងសេអ៊ូល ដែលពីមុនហៅថា CJ Korea Express។ ទំព័រក្លែងក្លាយទាំងនេះត្រូវបានរចនាឡើងដើម្បីឱ្យមើលទៅគួរឱ្យទុកចិត្ត និងកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលរំពឹងថានឹងមានការជូនដំណឹងទាក់ទងនឹងការដឹកជញ្ជូន។

លេខកូដ QR និងការជូនដំណឹងក្លែងក្លាយជាវ៉ិចទ័រនៃការឆ្លង

អ្នកវាយប្រហារពឹងផ្អែកយ៉ាងខ្លាំងទៅលើលេខកូដ QR និងបង្អួចជូនដំណឹងបោកបញ្ឆោត ដើម្បីទាក់ទាញអ្នកប្រើប្រាស់ឱ្យដំឡើងកម្មវិធីព្យាបាទ។ នៅពេលចូលប្រើពីប្រព័ន្ធកុំព្យូទ័រលើតុ ទំព័របន្លំនឹងបង្ហាញលេខកូដ QR ដែលជំរុញឱ្យអ្នកទស្សនាស្កេនវាជាមួយឧបករណ៍ Android។ បច្ចេកទេសបញ្ជូនបន្តនេះជំរុញជនរងគ្រោះឱ្យដំឡើងអ្វីដែលត្រូវបានបង្ហាញជាកម្មវិធីតាមដានការដឹកជញ្ជូន ឬកម្មវិធីផ្ទៀងផ្ទាត់សុវត្ថិភាព។

ដើម្បីបន្តការបោកបញ្ឆោតនេះ ទំព័របន្លំនេះដំណើរការស្គ្រីប PHP តាមដានដែលត្រួតពិនិត្យ User-Agent របស់កម្មវិធីរុករក។ ដោយផ្អែកលើការត្រួតពិនិត្យនេះ អ្នកប្រើប្រាស់ត្រូវបានបង្ហាញសារដែលជំរុញឱ្យពួកគេដំឡើងម៉ូឌុលសុវត្ថិភាព ដែលត្រូវបានគេសន្មត់ថាត្រូវបានទាមទារឱ្យអនុវត្តតាម 'គោលនយោបាយសន្តិសុខគយអន្តរជាតិ'។ និទានកថានេះមានបំណងបង្ហាញអំពីភាពត្រឹមត្រូវនៃសំណើដំឡើង និងកាត់បន្ថយការសង្ស័យ។

ការរំលងការព្រមានសុវត្ថិភាព Android

ដោយសារតែប្រព័ន្ធប្រតិបត្តិការ Android ដាក់កម្រិតការដំឡើងពីប្រភពដែលមិនស្គាល់ និងបង្ហាញការព្រមានដ៏លេចធ្លោ ភ្នាក់ងារគំរាមកំហែងអះអាងមិនពិតថាកម្មវិធីនេះជាការចេញផ្សាយជាផ្លូវការ និងមានសុវត្ថិភាព។ យុទ្ធសាស្ត្រវិស្វកម្មសង្គមនេះដាក់សម្ពាធលើជនរងគ្រោះឱ្យមិនអើពើនឹងការការពារដែលភ្ជាប់មកជាមួយ ហើយបន្តការដំឡើងទោះបីជាមានការជូនដំណឹងក៏ដោយ។

ខ្សែសង្វាក់ចែកចាយ និងប្រតិបត្តិ APK ព្យាបាទ

ប្រសិនបើជនរងគ្រោះយល់ព្រម APK ដែលមានឈ្មោះថា SecDelivery.apk ត្រូវបានទាញយកពីម៉ាស៊ីនមេនៅ 27.102.137.181។ នៅពេលដែលបានដាក់ឱ្យដំណើរការ កញ្ចប់នេះនឹងឌិគ្រីប APK ដែលបានអ៊ិនគ្រីបដែលបានបង្កប់នៅក្នុងធនធានផ្ទាល់ខ្លួនរបស់វា។ មុនពេលធ្វើឱ្យ payload សកម្ម វាផ្ទៀងផ្ទាត់ថាវាបានទទួលការអនុញ្ញាតឱ្យគ្រប់គ្រងការផ្ទុកខាងក្រៅ ចូលប្រើអ៊ីនធឺណិត និងដំឡើងកញ្ចប់បន្ថែម។

បន្ទាប់ពីការអនុញ្ញាតត្រូវបានបញ្ជាក់ មេរោគនឹងចុះឈ្មោះសេវាកម្មដែលត្រូវបានកំណត់ថាជា com.delivery.security.MainService ហើយចាប់ផ្តើមសកម្មភាពភ្លាមៗដែលក្លែងបន្លំជាការត្រួតពិនិត្យអត្តសញ្ញាណផ្អែកលើ OTP។ អេក្រង់ផ្ទៀងផ្ទាត់ក្លែងក្លាយនេះស្នើសុំលេខដឹកជញ្ជូន ដែលត្រូវបានអ៊ិនកូដយ៉ាងរឹងមាំនៅក្នុង APK ជា 742938128549 ហើយទំនងជាត្រូវបានផ្គត់ផ្គង់ដល់ជនរងគ្រោះក្នុងអំឡុងពេលជំហានបន្លំដំបូង។

ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដោយបោកប្រាស់ និងការសម្របសម្រួលដោយស្ងាត់ៗ

ពេលបញ្ចូលលេខដឹកជញ្ជូន កម្មវិធីនឹងបង្កើតលេខកូដផ្ទៀងផ្ទាត់ប្រាំមួយខ្ទង់ចៃដន្យ ហើយបង្ហាញវាជាការជូនដំណឹង។ បន្ទាប់មកអ្នកប្រើប្រាស់ត្រូវបានជំរុញឱ្យបញ្ចូលលេខកូដនេះ ដែលពង្រឹងការបំភាន់នៃដំណើរការសុវត្ថិភាពស្របច្បាប់។ នៅពេលបញ្ចប់ កម្មវិធីនឹងបើក WebView ដែលចង្អុលទៅទំព័រតាមដាន CJ Logistics ពិតប្រាកដ ដែលធ្វើឱ្យសកម្មភាពមើលទៅហាក់ដូចជាត្រឹមត្រូវ។

ទន្ទឹមនឹងនេះ សមាសធាតុព្យាបាទភ្ជាប់ដោយស្ងាត់ៗទៅកាន់ម៉ាស៊ីនមេបញ្ជា និងត្រួតពិនិត្យដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារនៅ 27.102.137.181 នៅលើច្រក 50005។ ចាប់ពីចំណុចនេះ វ៉ារ្យ៉ង់ DocSwap ដែលទើបដាក់ពង្រាយថ្មីដំណើរការជាមេរោគ Trojan ចូលប្រើពីចម្ងាយដែលមានមុខងារពេញលេញ។

សមត្ថភាពចូលប្រើពីចម្ងាយ និងការលួចទិន្នន័យ

មេរោគនេះមានសមត្ថភាពទទួលពាក្យបញ្ជារាប់សិបពីប្រតិបត្តិកររបស់វា ដែលអាចឱ្យមានការឃ្លាំមើល និងគ្រប់គ្រងយ៉ាងទូលំទូលាយលើឧបករណ៍ដែលឆ្លងមេរោគ។ មុខងាររបស់វារួមមានសមត្ថភាពក្នុងការកត់ត្រាការបញ្ចូលរបស់អ្នកប្រើប្រាស់ ត្រួតពិនិត្យការទំនាក់ទំនង និងទាញយកទិន្នន័យផ្ទាល់ខ្លួនដ៏រសើប ដោយប្រែក្លាយស្មាតហ្វូនដែលរងការលួចចូលទៅជាឧបករណ៍ចារកម្មដ៏មានឥទ្ធិពល។

កម្មវិធី Trojanized និងការចែកចាយដែលបានពង្រីក

ក្រៅពីកម្មវិធីចែកចាយក្លែងក្លាយ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណគំរូព្យាបាទបន្ថែមដែលក្លែងបន្លំជាកម្មវិធី P2B Airdrop និងកំណែដែលរងការសម្របសម្រួលនៃផលិតផល VPN ស្របច្បាប់មួយគឺ BYCOM VPN។ កម្មវិធី VPN ពិតប្រាកដអាចរកបាននៅលើ Google Play ហើយត្រូវបានបង្កើតឡើងដោយក្រុមហ៊ុនឥណ្ឌា Bycom Solutions។ ការវិភាគបង្ហាញថា Kimsuky បានចាក់កូដព្យាបាទចូលទៅក្នុង APK ស្របច្បាប់ ហើយបានវេចខ្ចប់វាឡើងវិញសម្រាប់ប្រើប្រាស់ក្នុងយុទ្ធនាការ។

ហេដ្ឋារចនាសម្ព័ន្ធ Phishing និងការប្រមូលផលព័ត៌មានសម្ងាត់

ការស៊ើបអង្កេតលើហេដ្ឋារចនាសម្ព័ន្ធគាំទ្របានបង្ហាញពីគេហទំព័របន្លំបន្លំដែលធ្វើត្រាប់តាមវេទិកាកូរ៉េខាងត្បូងដ៏ពេញនិយមដូចជា Naver និង Kakao។ គេហទំព័រទាំងនេះត្រូវបានរចនាឡើងដើម្បីលួចយកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ និងបង្ហាញពីការត្រួតស៊ីគ្នាជាមួយប្រតិបត្តិការ Kimsuky មុនៗដែលកំណត់គោលដៅអ្នកប្រើប្រាស់ Naver ជាពិសេស ដែលបង្ហាញពីការប្រើប្រាស់ឡើងវិញ និងការពង្រីកហេដ្ឋារចនាសម្ព័ន្ធដែលបានបង្កើតឡើង។

ការរចនាមេរោគដែលកំពុងវិវត្ត

ខណៈពេលដែលមេរោគដែលដាក់ពង្រាយនៅតែបើកដំណើរការសេវាកម្ម RAT ស្រដៀងគ្នាទៅនឹងឧបករណ៍ Kimsuky មុនៗ វាបង្ហាញពីការវិវត្តគួរឱ្យកត់សម្គាល់។ ការប្រើប្រាស់មុខងារឌិគ្រីបដើមថ្មីសម្រាប់ APK ដែលបានបង្កប់ និងការដាក់បញ្ចូលឥរិយាបថក្លែងបន្លំច្រើនបង្ហាញពីការអភិវឌ្ឍជាបន្តបន្ទាប់ និងការខិតខំប្រឹងប្រែងដើម្បីគេចពីការរកឃើញ ខណៈពេលដែលបង្កើនប្រសិទ្ធភាព។