Godfather Mobile Malware

កំណែដែលបានកែលម្អថ្មីនៃមេរោគ Android ដ៏ល្បីឈ្មោះ Godfather កំពុងធ្វើឱ្យមានរលកនៅក្នុងពិភពសុវត្ថិភាពអ៊ីនធឺណិត។ តាមរយៈការដាក់ពង្រាយបរិស្ថាននិម្មិតដាច់ដោយឡែកនៅលើឧបករណ៍ដែលមានមេរោគ មេរោគបំបាំងកាយនេះឥឡូវនេះអនុញ្ញាតឱ្យមានចារកម្មតាមពេលវេលាជាក់ស្តែង ការលួចព័ត៌មានសម្ងាត់ និងការក្លែងបន្លំហិរញ្ញវត្ថុ ខណៈពេលដែលនៅសល់ត្រូវបានលាក់ក្រោមការក្លែងបន្លំនៃកម្មវិធីធនាគារស្របច្បាប់។

ពិភពនិម្មិតសម្រាប់ការលួចពិត

មេរោគ Godfather ដែលបានអាប់ដេតប្រើប្រាស់ក្របខ័ណ្ឌនិម្មិតនិម្មិតដែលបានបង្កប់នៅក្នុងឯកសារ APK ដែលហាក់ដូចជាគ្មានកំហុស។ នៅពេលដំឡើងរួច វាពិនិត្យរកមើលវត្តមាននៃកម្មវិធីគោលដៅដែលមានសក្តានុពលជាង 500 រួមទាំងធនាគារ រូបិយប័ណ្ណគ្រីបតូ និងវេទិកាពាណិជ្ជកម្មអេឡិចត្រូនិក ហើយផ្លាស់ទីពួកវាទៅក្នុងបរិយាកាសនិម្មិត។ ការរៀបចំនេះធ្វើត្រាប់តាមយុទ្ធសាស្ត្រដែលប្រើដោយ FjordPhantom ក្នុងឆ្នាំ 2023 ប៉ុន្តែហួសពីវិសាលភាព និងទំនើបកម្ម។

មិនដូចមេរោគ Android ស្តង់ដារទេ Godfather ប្រើប្រាស់និម្មិតដើម្បីដំណើរការកម្មវិធីគោលដៅនៅក្នុងកុងតឺន័រដែលបានគ្រប់គ្រង ដោយបើកដំណើរការ៖

• ការលួចព័ត៌មានសម្ងាត់ក្នុងពេលជាក់ស្តែង និងការស្ទាក់ចាប់ការឆ្លើយតបផ្នែកខាងក្រោយ
• ការធ្វើត្រាប់តាមរូបភាពដែលមើលឃើញដោយរលូននៃកម្មវិធីស្របច្បាប់
• ការគេចចេញពីយន្តការសុវត្ថិភាពដែលភ្ជាប់មកជាមួយរបស់ Android

ការកាន់កាប់ដោយមើលមិនឃើញតាមរយៈ StubActivity

ផ្នែកសំខាន់នៃការបោកបញ្ឆោតនេះគឺការប្រើប្រាស់ StubActivity ដែលជាកន្លែងដាក់ក្នុង malware ដែលបើកដំណើរការកម្មវិធីនិម្មិតដោយមិនបង្ហាញ UI ពិតប្រាកដ ឬតក្កវិជ្ជារបស់វា។ នៅពេលដែលជនរងគ្រោះព្យាយាមចូលប្រើកម្មវិធីធនាគារស្របច្បាប់របស់ពួកគេ Godfather ស្ទាក់ចាប់សកម្មភាពដោយប្រើសិទ្ធិប្រើប្រាស់សេវាកម្មភាពងាយស្រួលរបស់វា ហើយបញ្ជូនបន្តវាទៅធុងនិម្មិត ដោយបង្ហាញចំណុចប្រទាក់កម្មវិធីពិត ខណៈពេលដែលទទួលបានការគ្រប់គ្រងពេញលេញនៃអន្តរកម្មអ្នកប្រើប្រាស់។

ល្បិចនេះបញ្ឆោត Android ឱ្យគិតថាវាកំពុងដំណើរការកម្មវិធីដែលមានសុវត្ថិភាព ខណៈពេលដែលសកម្មភាពរសើបទាំងអស់ ចាប់ពីការវាយបញ្ចូលកូដ PIN រហូតដល់ការបញ្ជាក់ប្រតិបត្តិការ ត្រូវបានត្រួតពិនិត្យ និងលួច។

នៅក្រោមក្រណាត់: ឧបករណ៍និងបច្ចេកទេស

ដើម្បីសម្រេចបាននូវប្រតិបត្តិការដ៏ស្មុគ្រស្មាញរបស់ខ្លួន Godfather ពឹងផ្អែកលើការបញ្ចូលគ្នានៃបច្ចេកវិទ្យាប្រភពបើកចំហ និងវិស្វកម្មដ៏ឆ្លាតវៃ៖

ម៉ាស៊ីន VirtualApp - ផ្តល់ថាមពលដល់ការបង្កើតធុងដាច់ដោយឡែក។

Xposed Framework – ភ្ជាប់ទៅនឹង Android APIs ដើម្បីកត់ត្រាការបញ្ចូល និងការឆ្លើយតប។

ការក្លែងបន្លំដោយចេតនា - ពាក្យបញ្ជាលួចមានអត្ថន័យសម្រាប់កម្មវិធីស្របច្បាប់ ហើយបញ្ជូនពួកគេឡើងវិញ។

ប្រព័ន្ធឯកសារនិម្មិត និងលេខសម្គាល់ដំណើរការ – គាំទ្រការចម្លងបរិស្ថានគ្មានថ្នេរ។

នៅពេលសំខាន់ មេរោគនេះត្រួតលើអេក្រង់ចាក់សោក្លែងក្លាយ ឬធ្វើបច្ចុប្បន្នភាពអេក្រង់ដើម្បីជំរុញឱ្យអ្នកប្រើប្រាស់បញ្ចូលព័ត៌មានសម្ងាត់ដែលរសើប ដែលបន្ទាប់មកត្រូវបានបណ្តេញចេញទៅកាន់អ្នកវាយប្រហារ។

ក្រឡេកមើលទៅក្រោយ៖ ការវិវត្តន៍របស់ឪពុក

Godfather បានបង្ហាញខ្លួនជាលើកដំបូងនៅក្នុងខែមីនា ឆ្នាំ 2021 ហើយចាប់តាំងពីពេលនោះមកមានការវិវត្តយ៉ាងខ្លាំង។ នៅក្នុងបំរែបំរួលក្នុងខែធ្នូ ឆ្នាំ 2022 មេរោគនេះកំពុងកំណត់គោលដៅកម្មវិធីចំនួន 400 នៅទូទាំង 16 ប្រទេសដោយប្រើការវាយប្រហារលើ HTML ។ ទោះជាយ៉ាងណាក៏ដោយ កំណែបច្ចុប្បន្នប្រើប្រាស់និម្មិតពេញលេញ ដោយពង្រីកការឈានដល់កម្មវិធីជាង 500 នៅទូទាំងពិភពលោក។ ខណៈពេលដែលយុទ្ធនាការចុងក្រោយនេះហាក់ដូចជាផ្តោតលើធនាគារទួរគីរាប់សិបនោះ ហេដ្ឋារចនាសម្ព័ន្ធគឺស្ថិតនៅក្នុងកន្លែងដើម្បីផ្ដោតជាសកល។

របៀបរក្សាការការពារ

ដើម្បីកាត់បន្ថយហានិភ័យនៃការធ្លាក់ខ្លួនជាជនរងគ្រោះទៅនឹងការគំរាមកំហែងកម្រិតខ្ពស់ដូចជា Godfather អ្នកប្រើប្រាស់គួរតែអនុវត្តតាមការអនុវត្តល្អបំផុតនៃសុវត្ថិភាពតាមអ៊ីនធឺណិតទាំងនេះ៖

• ទាញយកដោយសុវត្ថិភាព
• ដំឡើងតែកម្មវិធីពី Google Play ឬប្រភពដែលអាចទុកចិត្តបាន។
• ជៀសវាងការផ្ទុក APKs ចំហៀង លុះត្រាតែអ្នកបោះពុម្ពផ្សាយមានកេរ្តិ៍ឈ្មោះ និងផ្ទៀងផ្ទាត់។
• អនុវត្តការប្រុងប្រយ័ត្នកម្មវិធី
• រក្សា Google Play Protect បានបើកដំណើរការ។
• ត្រួតពិនិត្យការអនុញ្ញាតកម្មវិធី ជាពិសេសសំណើសម្រាប់សេវាកម្មភាពងាយស្រួល។
• សង្ស័យ​លើ​អេក្រង់​ចាក់សោ​ដែល​មិន​បាន​រំពឹង​ទុក ឬ​ការ​ជំរុញ​ឱ្យ​ធ្វើ​បច្ចុប្បន្នភាព។

កំណែចុងក្រោយបំផុតរបស់ Godfather បង្ហាញពីការផ្លាស់ប្តូរឆ្ពោះទៅរកការគំរាមកំហែងតាមទូរស័ព្ទដែលទំនើបជាងមុន ដែលធ្វើឲ្យបន្ទាត់ព្រិលរវាងសកម្មភាពព្យាបាទ និងឥរិយាបថកម្មវិធីស្របច្បាប់។ ការរក្សាការជូនដំណឹង និងការប្រុងប្រយ័ត្ន គឺជាខ្សែការពារទីមួយ។