Herodotus Malware ចល័ត

អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខបានរកឃើញ Trojan ធនាគារ Android ថ្មីមួយដែលមានឈ្មោះថា Herodotus ដែលកំពុងត្រូវបានប្រើប្រាស់នៅក្នុងយុទ្ធនាការគ្រប់គ្រងឧបករណ៍សកម្ម (DTO) ។ សកម្មភាពដំបូងត្រូវបានគេសង្កេតឃើញផ្តោតលើអ្នកប្រើប្រាស់នៅក្នុងប្រទេសអ៊ីតាលី និងប្រេស៊ីល ហើយការវិភាគបង្ហាញថាមេរោគត្រូវបានផ្តល់ជូនជា Malware-as-a-Service (MaaS)។

Bogus Chrome Dropper, SMiShing និង Side-loading

ប្រតិបត្តិករចែកចាយ Herodotus តាមរយៈកម្មវិធី dropper ដែលក្លែងបន្លំជាកម្មវិធីស្របច្បាប់ (ត្រូវបានគេរាយការណ៍ថាកំពុងក្លែងបន្លំជា Google Chrome ជាមួយនឹងឈ្មោះកញ្ចប់ដូចជា com.cd3.app) និងទាក់ទាញជនរងគ្រោះតាមរយៈ SMS phishing និងវ៉ិចទ័រផ្នែកវិស្វកម្មសង្គមផ្សេងទៀត។ នៅពេលដែលឧបករណ៍ទម្លាក់ត្រូវបានដំឡើង (ជាញឹកញាប់តាមរយៈការផ្ទុកចំហៀង) វាទៅយក និងដំឡើងបន្ទុកព្យាបាទ។

សមត្ថភាពរបស់ Herodotus

• បំពានសេវាកម្មមធ្យោបាយងាយស្រួលរបស់ Android ដើម្បីគ្រប់គ្រងអេក្រង់ បង្ហាញការបិទបាំងស្រអាប់ និងបង្ហាញទំព័រចូលក្លែងក្លាយលើកម្មវិធីធនាគារ និងគ្រីបតូ។
• ស្ទាក់ចាប់ និងបណ្តេញចេញនូវមាតិកានៅលើអេក្រង់ និងសារ SMS (រួមទាំងលេខកូដ 2FA)។
• ផ្តល់ការអនុញ្ញាតបន្ថែមដោយខ្លួនវា ចាប់យកកូដ PIN ឬលំនាំចាក់សោអេក្រង់ ដំឡើង APKs ពីចម្ងាយ និងបន្តនៅក្នុងវគ្គបន្តផ្ទាល់ ជាជាងការលួចយកព័ត៌មានសម្ងាត់ឋិតិវន្ត។
• កត់ត្រាការចុចគ្រាប់ចុច ស្ទ្រីមអេក្រង់ និងអនុវត្តសកម្មភាពបញ្ចូលពីចម្ងាយ ដើម្បីអនុវត្តការកាន់កាប់គណនី។

ការក្លែងបន្លំពីចម្ងាយ 'មនុស្សធម៌' ដើម្បីផ្តួលឧបករណ៍ចាប់អាកប្បកិរិយា

លក្ខណៈពិសេសលេចធ្លោរបស់ Herodotus គឺជាការប៉ុនប៉ងរបស់ខ្លួនដើម្បីធ្វើត្រាប់តាមពេលវេលាអន្តរកម្មរបស់មនុស្ស។ មេរោគអាចបន្ថែមការពន្យារពេលចៃដន្យរវាងព្រឹត្តិការណ៍បញ្ចូលដោយស្វ័យប្រវត្តិ (ចន្លោះពេលពន្យារពេលដែលបានរាយការណ៍ ~ 300–3,000 មិល្លីវិនាទី) ដូច្នេះការវាយពីចម្ងាយមើលទៅហាក់ដូចជាអ្នកប្រើប្រាស់ពិតប្រាកដ និងតិចជាងល្បឿនម៉ាស៊ីន ដែលជាកិច្ចខិតខំប្រឹងប្រែងច្បាស់លាស់ដើម្បីរំលងពេលវេលា - ឬការប្រឆាំងការក្លែងបន្លំផ្អែកលើឥរិយាបថ និងការរកឃើញជីវមាត្រ។ ការចៃដន្យនៃពេលវេលានេះកំពុងត្រូវបានពិពណ៌នាថាជាការប៉ុនប៉ងដោយចេតនាដើម្បីកម្ចាត់ខ្សែការពារដែលពឹងផ្អែកជាចម្បងលើចង្វាក់បញ្ចូល និងចង្វាក់នៃការវាយកូនសោ។

ការតភ្ជាប់ទៅ Brokewell

ការវិភាគបង្ហាញថា Herodotus មិនមែនគ្រាន់តែជាកំណែថ្មីរបស់ Brokewell ប៉ុណ្ណោះទេ ប៉ុន្តែវាហាក់បីដូចជាបានប្រើឡើងវិញនូវបច្ចេកទេស និងបំណែកកូដ (រាប់បញ្ចូលទាំងវិធីសាស្ត្របំភាន់ និងសេចក្តីយោងតាមព្យញ្ជនៈដូចជាសញ្ញាសម្គាល់ដូចជា 'BRKWL_JAVA') ពី Brokewell និងគ្រួសារផ្សេងទៀត — យ៉ាងមានប្រសិទ្ធភាពក្នុងការភ្ជាប់សមាសធាតុដែលគេស្គាល់ទៅជាប្រភេទថ្មីដែលត្រូវបានអភិវឌ្ឍយ៉ាងសកម្ម។

វិសាលភាពភូមិសាស្ត្រ និងគោលដៅ

អ្នកស្រាវជ្រាវបានរកឃើញទំព័រត្រួតលើគ្នាដែលត្រូវបានកែសម្រួលសម្រាប់ធនាគារនៅសហរដ្ឋអាមេរិក ទួរគី ចក្រភពអង់គ្លេស និងប៉ូឡូញ និងសម្រាប់កាបូប និងការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ — ភស្តុតាងដែលប្រតិបត្តិករកំពុងពង្រីកទីតាំងភូមិសាស្ត្រ និងទិសដៅបញ្ឈរលើសពីការមើលឃើញដំបូងរបស់អ៊ីតាលី/ប្រេស៊ីល។ គម្រោងនេះកំពុងស្ថិតក្រោមការអភិវឌ្ឍន៍យ៉ាងសកម្ម និងទីផ្សារទៅកាន់អ្នកប្រព្រឹត្តការក្លែងបន្លំផ្សេងទៀតតាមរយៈវេទិការក្រោមដី។

សកម្មភាពជាក់ស្តែងដើម្បីផ្តល់អាទិភាព

• ចាត់ទុកដំណោះស្រាយប្រឆាំងនឹងការក្លែងបន្លំជាអាកប្បកិរិយាតែមួយគត់ជាសញ្ញាមួយនៅក្នុងការការពារជាស្រទាប់៖ រួមបញ្ចូលគ្នានូវឥរិយាបថរបស់ឧបករណ៍ ការត្រួតពិនិត្យសុចរិតភាព (រកឃើញការបំពានលទ្ធភាពប្រើប្រាស់ និងកម្មវិធីដែលផ្ទុកដោយចំហៀង) ទូរលេខបណ្តាញ និងការវាយតម្លៃហានិភ័យប្រតិបត្តិការ។
• រកឃើញ និងទប់ស្កាត់ការផ្ទុកចំហៀង និងការដំឡើងកញ្ចប់ដែលមិនមានការអនុញ្ញាត។ ត្រួតពិនិត្យមើលបង្អួចត្រួតគ្នាគួរឱ្យសង្ស័យ និងការប្រើប្រាស់សេវាកម្មភាពងាយស្រួលនៅលើចំណុចបញ្ចប់។
• អនុវត្តការផ្ទៀងផ្ទាត់ពហុកត្តាខ្លាំង (រុញ ឬសញ្ញាសម្ងាត់ផ្នែករឹងតាមសារ SMS តាមដែលអាចធ្វើទៅបាន) ការធ្វើឱ្យឧបករណ៍រឹង និងការធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ/កម្មវិធីទាន់ពេលវេលា។
• អនុវត្តការបិទដំណើរការប្រតិបត្តិការ និងការផ្ទៀងផ្ទាត់បន្ទាប់បន្សំសម្រាប់សកម្មភាពដែលមានហានិភ័យខ្ពស់ដែលអាចត្រូវបានបំពានក្នុងអំឡុងពេលវគ្គបន្តផ្ទាល់។

ការយកតាមបច្ចេកទេស

មិនដូច Trojans ប្រមូលផលដែលមានការបញ្ជាក់អត្តសញ្ញាណសាមញ្ញទេ Herodotus ត្រូវបានរចនាឡើងដើម្បីបន្តសកម្មក្នុងអំឡុងពេលវគ្គបន្តផ្ទាល់ និងដើម្បីអនុវត្តការកាន់កាប់គណនីរក្សាទុកពីចម្ងាយ។ នោះធ្វើឱ្យការរកឃើញតាមពេលវេលាជាក់ស្តែង និងការកាត់បន្ថយក្នុងសម័យប្រជុំ (ឧទាហរណ៍ ការរកឃើញការត្រួតគ្នា លំនាំបញ្ចូលមិនធម្មតាដែលមិនស៊ីគ្នានឹងស្ថានភាពឧបករណ៍ ឬការផ្សាយអេក្រង់ក្នុងពេលដំណាលគ្នា) មានសារៈសំខាន់ជាពិសេស។