GravityRAT Malware ចល័ត
ចាប់តាំងពីខែសីហា ឆ្នាំ 2022 យុទ្ធនាការមេរោគ Android ថ្មីមួយត្រូវបានរកឃើញ ដែលរីករាលដាលកំណែចុងក្រោយបំផុតរបស់ GravityRAT និងធ្វើឱ្យខូចឧបករណ៍ចល័ត។ មេរោគនេះប្រើប្រាស់កម្មវិធីជជែក Trojanized ដែលមានឈ្មោះថា 'BingeChat' ជាមធ្យោបាយនៃការឆ្លងមេរោគក្នុងគោលបំណងលួចទិន្នន័យពីឧបករណ៍របស់ជនរងគ្រោះ។
កំណែចុងក្រោយបំផុតរបស់ GravityRAT ភ្ជាប់មកជាមួយការកែលម្អគួរឱ្យកត់សម្គាល់ រួមទាំងសមត្ថភាពក្នុងការលួចចម្លងឯកសារបម្រុងទុក WhatsApp ។ ឯកសារបម្រុងទុកទាំងនេះ ដែលត្រូវបានរចនាឡើងដើម្បីជួយអ្នកប្រើប្រាស់ក្នុងការផ្ទេរប្រវត្តិសារ ឯកសារមេឌៀ និងទិន្នន័យរបស់ពួកគេទៅកាន់ឧបករណ៍ថ្មី អាចមានព័ត៌មានរសើបដូចជា អត្ថបទ វីដេអូ រូបថត ឯកសារ និងអ្វីៗជាច្រើនទៀតនៅក្នុងទម្រង់ដែលមិនបានអ៊ិនគ្រីប។
ខណៈពេលដែល GravityRAT មានសកម្មភាពតាំងពីឆ្នាំ 2015 មកម្ល៉េះ វាបានចាប់ផ្តើមកំណត់គោលដៅឧបករណ៍ Android តែប៉ុណ្ណោះក្នុងឆ្នាំ 2020។ ប្រតិបត្តិករដែលនៅពីក្រោយមេរោគនេះ ដែលត្រូវបានគេស្គាល់ថា 'SpaceCobra' ប្រើប្រាស់ទាំងស្រុងនូវ spyware សម្រាប់ប្រតិបត្តិការដែលមានគោលដៅខ្ពស់របស់ពួកគេ។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក្លែងបន្លំ GravityRAT ជាកម្មវិធីជជែកមានប្រយោជន៍
Spyware ដែលក្លែងខ្លួនជាកម្មវិធីជជែក 'BingeChat' អះអាងថាផ្តល់នូវការអ៊ិនគ្រីបពីចុងដល់ចប់ និងមានចំណុចប្រទាក់ងាយស្រួលប្រើជាមួយមុខងារកម្រិតខ្ពស់។ កម្មវិធីព្យាបាទត្រូវបានចែកចាយជាចម្បងតាមរយៈគេហទំព័រ 'bingechat.net' និងអាចជាដែន ឬបណ្តាញផ្សេងទៀត។ ទោះជាយ៉ាងណាក៏ដោយ ការចូលប្រើការទាញយកត្រូវបានដាក់កម្រិតចំពោះបុគ្គលដែលបានអញ្ជើញ ដែលត្រូវតែផ្តល់លិខិតសម្គាល់ត្រឹមត្រូវ ឬចុះឈ្មោះគណនីថ្មី។
បច្ចុប្បន្ន ការចុះឈ្មោះសម្រាប់កម្មវិធីត្រូវបានបិទ ដោយកំណត់ការចែកចាយរបស់វាចំពោះគោលដៅជាក់លាក់។ វិធីសាស្រ្តនេះមិនត្រឹមតែអនុញ្ញាតឱ្យជនល្មើសចែកចាយមេរោគដោយជ្រើសរើសប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងបង្កបញ្ហាសម្រាប់អ្នកស្រាវជ្រាវដែលស្វែងរកការចម្លងសម្រាប់ការវិភាគផងដែរ។
តាមលំនាំដដែលៗ ប្រតិបត្តិកររបស់ GravityRAT បានងាកទៅរកការផ្សព្វផ្សាយ Android APKs ដ៏អាក្រក់ដោយប្រើកម្មវិធីជជែកដែលមានឈ្មោះថា 'SoSafe' នៅឆ្នាំ 2021 ហើយមុននោះកម្មវិធីមួយទៀតហៅថា 'Travel Mate Pro' ។ កម្មវិធីទាំងនេះគឺជាកំណែ Trojanized នៃ OMEMO IM ដែលជាកម្មវិធីផ្ញើសារបន្ទាន់ប្រភពបើកចំហស្របច្បាប់សម្រាប់ Android ។
គួរកត់សម្គាល់ថា SpaceCobra ពីមុនបានប្រើប្រាស់ OMEMO IM ជាមូលដ្ឋានគ្រឹះសម្រាប់កម្មវិធីក្លែងបន្លំមួយទៀតដែលមានឈ្មោះថា 'Chatico'។ នៅរដូវក្តៅឆ្នាំ 2022 Chatico ត្រូវបានចែកចាយទៅកាន់គោលដៅតាមរយៈគេហទំព័រ 'chatico.co.uk' ដែលលែងដំណើរការ។
សមត្ថភាពព្យាបាទត្រូវបានរកឃើញនៅក្នុងការគំរាមកំហែងចល័ត GravityRAT
នៅពេលដំឡើងនៅលើឧបករណ៍របស់គោលដៅ BingeChat ស្នើសុំការអនុញ្ញាតដែលមានហានិភ័យពីកំណើត។ ការអនុញ្ញាតទាំងនេះរួមមានការចូលប្រើទំនាក់ទំនង ទីតាំង ទូរស័ព្ទ សារ SMS កន្លែងផ្ទុក កំណត់ហេតុការហៅទូរសព្ទ កាមេរ៉ា និងមីក្រូហ្វូន។ ដោយសារការអនុញ្ញាតទាំងនេះជាធម្មតាត្រូវបានទាមទារដោយកម្មវិធីផ្ញើសារភ្លាមៗ ពួកគេទំនងជាមិនបង្កើនការសង្ស័យ ឬមើលទៅមិនធម្មតាចំពោះជនរងគ្រោះនោះទេ។
មុនពេលអ្នកប្រើប្រាស់ចុះឈ្មោះក្នុង BingeChat កម្មវិធីនេះបានផ្ញើព័ត៌មានសំខាន់ៗយ៉ាងលាក់លៀមទៅកាន់ម៉ាស៊ីនមេ Command-and-Control (C2) របស់តួអង្គគំរាមកំហែង។ នេះរួមបញ្ចូលទាំងកំណត់ហេតុការហៅទូរសព្ទ បញ្ជីទំនាក់ទំនង សារ SMS ទីតាំងឧបករណ៍ និងព័ត៌មានឧបករណ៍មូលដ្ឋាន។ លើសពីនេះ មេរោគបានលួចឯកសារមេឌៀ និងឯកសារផ្សេងៗនៃប្រភេទឯកសារជាក់លាក់ ដូចជា jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18, និង crypt32 ។ គួរកត់សម្គាល់ថាផ្នែកបន្ថែមឯកសារគ្រីបត្រូវគ្នាទៅនឹងការបម្រុងទុក WhatsApp Messenger ។
លើសពីនេះ លក្ខណៈពិសេសថ្មីគួរឱ្យកត់សម្គាល់មួយនៃ GravityRAT គឺសមត្ថភាពរបស់វាក្នុងការទទួលពាក្យបញ្ជាបីផ្សេងគ្នាពីម៉ាស៊ីនមេ C2 ។ ពាក្យបញ្ជាទាំងនេះរួមមាន 'លុបឯកសារទាំងអស់' (នៃផ្នែកបន្ថែមដែលបានបញ្ជាក់), 'លុបទំនាក់ទំនងទាំងអស់' និង 'លុបកំណត់ហេតុហៅទូរសព្ទទាំងអស់។' សមត្ថភាពនេះផ្តល់ឱ្យតួអង្គគំរាមកំហែងគ្រប់គ្រងយ៉ាងសំខាន់លើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល និងអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិសកម្មភាពដែលអាចបំផ្លាញបាន។
អ្នកប្រើប្រាស់គួរតែអនុវត្តការប្រុងប្រយ័ត្នបំផុតនៅពេលផ្តល់ការអនុញ្ញាតដល់កម្មវិធី និងពិនិត្យដោយប្រុងប្រយ័ត្ននូវការអនុញ្ញាតដែលបានស្នើសុំដោយកម្មវិធីណាមួយ ទោះបីជាវាហាក់ដូចជាស្របច្បាប់ក៏ដោយ។ ការធ្វើបច្ចុប្បន្នភាពឧបករណ៍ជាទៀងទាត់ ការប្រើប្រាស់ដំណោះស្រាយសុវត្ថិភាពដែលអាចទុកចិត្តបាន និងការប្រុងប្រយ័ត្នប្រឆាំងនឹងអាកប្បកិរិយាកម្មវិធីគួរឱ្យសង្ស័យអាចជួយកាត់បន្ថយហានិភ័យដែលទាក់ទងនឹងយុទ្ធនាការមេរោគដ៏ទំនើបបែបនេះ។
