FireScam Malware ចល័ត
ការគំរាមកំហែងប្រព័ន្ធប្រតិបត្តិការ Android ដែលត្រូវបានកំណត់អត្តសញ្ញាណថ្មីដែលមានឈ្មោះថា FireScam ត្រូវបានរកឃើញ។ វាក្លែងខ្លួនវាជាកំណែប្រសើរឡើងនៃកម្មវិធីផ្ញើសារ Telegram ។ យុទ្ធសាស្ត្របោកបញ្ឆោតនេះអនុញ្ញាតឱ្យកម្មវិធីគំរាមកំហែងទាញយកទិន្នន័យអ្នកប្រើប្រាស់ដែលងាយរងគ្រោះ និងរក្សាការចូលប្រើប្រាស់ពីចម្ងាយជាបន្តបន្ទាប់ទៅកាន់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
តារាងមាតិកា
ការក្លែងបន្លំដ៏ឆ្លាតវៃ៖ កម្មវិធីពិសេស Telegram ក្លែងក្លាយ
FireScam ត្រូវបានចែកចាយក្រោមរូបភាពនៃកម្មវិធី 'Telegram Premium' ក្លែងក្លាយ។ វារីករាលដាលតាមរយៈគេហទំព័របន្លំដែលបង្ហោះនៅលើ GitHub.io ដែលក្លែងបន្លំខ្លួនវាថាជា RuStore ដែលជាទីផ្សារកម្មវិធីដ៏ល្បីនៅក្នុងប្រទេសរុស្ស៊ី។ អ្នកវិភាគសុវត្ថិភាពពណ៌នាការគំរាមកំហែងតាមទូរស័ព្ទនេះថាស្មុគស្មាញ និងអាចសម្របខ្លួនបានខ្ពស់។ នៅពេលដំឡើងរួច វាធ្វើតាមដំណើរការឆ្លងពហុដំណាក់កាល ដោយចាប់ផ្តើមជាមួយ APK dropper ដែលសម្របសម្រួលការឃ្លាំមើលយ៉ាងទូលំទូលាយ។
គេហទំព័រក្លែងបន្លំ rustore-apk.github.io ធ្វើត្រាប់តាមចំណុចប្រទាក់របស់ RuStore ហើយត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកឯកសារ APK តំណក់ទឹកដែលមានឈ្មោះថា 'GetAppsRu.apk.'
តួនាទីរបស់ Dropper នៅក្នុងការវាយប្រហាររបស់ FireScam
បន្ទាប់ពីដំឡើងរួច ឧបករណ៍ទម្លាក់ទឹកដើរតួជាយន្តការបញ្ជូនសម្រាប់បន្ទុកបឋម។ សមាសធាតុស្នូលនេះទទួលខុសត្រូវក្នុងការប្រមូល និងបញ្ជូនព័ត៌មានរសើប ដូចជាសារ ការជូនដំណឹង និងទិន្នន័យកម្មវិធី ទៅកាន់មូលដ្ឋានទិន្នន័យ Firebase Realtime ។
ដើម្បីពង្រឹងការគ្រប់គ្រងរបស់វា ប្រដាប់បន្តក់ស្នើសុំការអនុញ្ញាតជាច្រើន ដែលរួមមានការចូលទៅកាន់កន្លែងផ្ទុកខាងក្រៅ និងសមត្ថភាពក្នុងការដំឡើង អាប់ដេត ឬលុបកម្មវិធីនៅលើឧបករណ៍ Android ដែលដំណើរការកំណែ 8 និងថ្មីជាងនេះ។
ជាពិសេសទាក់ទងនឹងទិដ្ឋភាពនៃ FireScam គឺការកេងប្រវ័ញ្ចរបស់វាពីការអនុញ្ញាត ENFORCE_UPDATE_OWNERSHIP ។ មុខងារ Android នេះអនុញ្ញាតឱ្យកម្មវិធីដំឡើងដើមរបស់កម្មវិធីក្លាយជា 'ម្ចាស់អាប់ដេត' របស់វា មានន័យថាមានតែម្ចាស់ដែលបានកំណត់ប៉ុណ្ណោះដែលអាចចាប់ផ្តើមអាប់ដេតបាន។ តាមរយៈការប្រើប្រាស់យន្តការនេះ FireScam អាចទប់ស្កាត់ការអាប់ដេតស្របច្បាប់ពីប្រភពផ្សេងទៀត ដោយធានានូវវត្តមានបន្តរបស់វានៅលើឧបករណ៍ដែលមានមេរោគ។
លក្ខណៈពិសេសការគេចចេញ និងការឃ្លាំមើល
FireScam ប្រើបច្ចេកទេសមិនច្បាស់ដើម្បីទប់ទល់នឹងការរកឃើញ និងការវិភាគ។ វាតាមដានយ៉ាងសកម្មនូវការជូនដំណឹងចូល ការផ្លាស់ប្តូរស្ថានភាពអេក្រង់ សកម្មភាពអ្នកប្រើប្រាស់ មាតិកាក្ដារតម្បៀតខ្ទាស់ និងសូម្បីតែប្រតិបត្តិការលើអ៊ីនធឺណិត។ ការគំរាមកំហែងនេះក៏មានសមត្ថភាពក្នុងការទាញយក និងដំណើរការរូបភាពពីម៉ាស៊ីនមេពីចម្ងាយ ដោយបន្ថែមស្រទាប់មួយទៀតទៅសមត្ថភាពឃ្លាំមើលរបស់វា។
នៅពេលចាប់ផ្តើម កម្មវិធី Telegram Premium ដែលបញ្ឆោតទាំងឡាយ ស្នើសុំការអនុញ្ញាតឱ្យចូលប្រើទំនាក់ទំនងរបស់អ្នកប្រើប្រាស់ កំណត់ហេតុការហៅទូរសព្ទ និងសារ SMS ។ បន្ទាប់មកវាបង្ហាញទំព័រចូលដែលឆ្លុះបញ្ចាំងពីគេហទំព័រផ្លូវការរបស់ Telegram តាមរយៈ WebView ដោយព្យាយាមចាប់យកអត្តសញ្ញាណអ្នកប្រើប្រាស់។ ទោះជាយ៉ាងណាក៏ដោយ ដំណើរការប្រមូលទិន្នន័យត្រូវបានបង្កឡើង បើទោះបីជាអ្នកប្រើប្រាស់មិនបញ្ចូលព័ត៌មានលម្អិតនៃការចូលរបស់ពួកគេក៏ដោយ។
ការរក្សាការចូលប្រើពីចម្ងាយជាប់រហូត
មុខងារដ៏អាក្រក់មួយរបស់ FireScam គឺសមត្ថភាពក្នុងការចុះឈ្មោះសម្រាប់ការជូនដំណឹង Firebase Cloud Messaging (FCM) ។ នេះអនុញ្ញាតឱ្យការគំរាមកំហែងដើម្បីទទួលបានការណែនាំពីចម្ងាយ និងរក្សាការចូលប្រើប្រាស់សម្ងាត់ដែលកំពុងបន្តទៅកាន់ឧបករណ៍។ លើសពីនេះ វាបង្កើតការភ្ជាប់ WebSocket ជាមួយនឹងម៉ាស៊ីនមេបញ្ជា និងបញ្ជា (C2) របស់វា ដើម្បីជួយសម្រួលដល់ការលួចទិន្នន័យ និងប្រតិបត្តិសកម្មភាពដែលមិនមានសុវត្ថិភាពបន្ថែមទៀត។
សមាសធាតុបង្កគ្រោះថ្នាក់ផ្សេងទៀត និងសំណួរដែលមិនមានចម្លើយ
អ្នកស្រាវជ្រាវក៏បានកំណត់អត្តសញ្ញាណវត្ថុបុរាណដែលបង្កគ្រោះថ្នាក់មួយផ្សេងទៀតដែលបង្ហោះនៅលើដែនបន្លំ ដែលហៅថា 'CDEK'។ ឈ្មោះនេះទំនងជាសំដៅលើសេវាកម្មដឹកជញ្ជូន និងតាមដានកញ្ចប់របស់រុស្ស៊ី ដែលបង្ហាញពីសកម្មភាពព្យាបាទទូលំទូលាយលើសពី FireScam តែម្នាក់ឯង។
វានៅតែមិនច្បាស់ថាអ្នកណានៅពីក្រោយប្រតិបត្តិការនេះ ឬរបៀបដែលអ្នកប្រើប្រាស់កំពុងត្រូវបានដឹកនាំទៅកាន់តំណបន្លំទាំងនេះ។ យុទ្ធសាស្ត្រដែលមានសក្តានុពលអាចពាក់ព័ន្ធនឹងការបន្លំសារ SMS (ការញញឹម) ឬយុទ្ធនាការផ្សាយពាណិជ្ជកម្ម។ តាមរយៈការធ្វើត្រាប់តាមសេវាកម្មស្របច្បាប់ដូចជា RuStore គេហទំព័របោកប្រាស់ទាំងនេះរៀបចំការជឿទុកចិត្តរបស់អ្នកប្រើប្រាស់ដើម្បីបញ្ចុះបញ្ចូលបុគ្គលឱ្យទាញយកកម្មវិធីក្លែងបន្លំ។
សមត្ថភាពរបស់ FireScam ក្នុងការទាញយកទិន្នន័យ និងធ្វើការឃ្លាំមើល គូសបញ្ជាក់ពីហានិភ័យដែលទាក់ទងនឹងវិធីសាស្រ្តចែកចាយដែលជំរុញដោយបន្លំ។ ករណីនេះបង្ហាញពីបញ្ហាប្រឈមដែលកំពុងបន្តក្នុងការការពារអ្នកប្រើប្រាស់ Android ពីការគំរាមកំហែងដែលកេងចំណេញផ្នែកវិស្វកម្មសង្គម និងការជឿទុកចិត្តលើវេទិកាល្បី។
