Klopatra Banking Trojan

Klopatra ដែលជា Trojan ធនាគារ Android ដែលមិនស្គាល់ពីមុនបានសម្របសម្រួលឧបករណ៍ជាង 3,000 ដោយប្រទេសអេស្ប៉ាញ និងអ៊ីតាលីជាប្រទេសដែលរងគ្រោះខ្លាំងជាងគេ។ ត្រូវបានរកឃើញនៅចុងខែសីហា ឆ្នាំ 2025 ដោយអ្នកស្រាវជ្រាវ infosec មេរោគដ៏ទំនើបនេះរួមបញ្ចូលគ្នានូវសមត្ថភាព trojan (RAT) ដែលអាចចូលប្រើពីចម្ងាយ ជាមួយនឹងបច្ចេកទេសគេចវេសកម្រិតខ្ពស់ កំណត់គោលដៅព័ត៌មានហិរញ្ញវត្ថុ និងបើកដំណើរការប្រតិបត្តិការក្លែងបន្លំ។

បច្ចេកទេសវាយប្រហារដ៏ទំនើប និងការបញ្ជាពីចម្ងាយ

Klopatra ប្រើប្រាស់ Hidden Virtual Network Computing (VNC) ដើម្បីទទួលបានការគ្រប់គ្រងពីចម្ងាយនៃឧបករណ៍ដែលមានមេរោគ។ វាប្រើការត្រួតលើគ្នាថាមវន្តដើម្បីលួចព័ត៌មានសម្ងាត់ និងដំណើរការប្រតិបត្តិការដែលគ្មានការអនុញ្ញាត។ មិនដូចមេរោគចល័តធម្មតា Klopatra រួមបញ្ចូលបណ្ណាល័យដើម និងឈុតការពារកូដ Virbox ថ្នាក់ពាណិជ្ជកម្ម ធ្វើឱ្យការរកឃើញ និងការវិភាគពិបាកខ្លាំង។

ការវិភាគលើហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់មេរោគ និងតម្រុយភាសាបង្ហាញថាក្រុមឧក្រិដ្ឋជននិយាយភាសាទួរគីដំណើរការ Klopatra ជា botnet ឯកជន ជាជាងការផ្តល់ជូនវាជាសេវា malware-as-a-service (MaaS) សាធារណៈ។ ចាប់តាំងពីខែមីនាឆ្នាំ 2025 ការបង្កើត Trojan ចំនួន 40 ត្រូវបានគេកំណត់អត្តសញ្ញាណ។

របៀបដែលជនរងគ្រោះត្រូវបានល្បួងចូល

Klopatra រីករាលដាលតាមរយៈយុទ្ធសាស្ត្រវិស្វកម្មសង្គម ដោយបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំឡើងកម្មវិធីទម្លាក់ចុះ ដែលក្លែងបន្លំជាឧបករណ៍គ្មានគ្រោះថ្នាក់ ដូចជាកម្មវិធីផ្សាយ IPTV ជាដើម។ កម្មវិធីទាំងនេះទាញយកឆន្ទៈរបស់អ្នកប្រើប្រាស់ក្នុងការដំឡើងកម្មវិធីលួចចម្លងពីប្រភពដែលមិនគួរឱ្យទុកចិត្ត។

នៅពេលដំឡើងរួច អ្នកទម្លាក់ស្នើការអនុញ្ញាតក្នុងការដំឡើងកញ្ចប់ពីប្រភពមិនស្គាល់។ បន្ទាប់មកវាទាញយកបន្ទុកសំខាន់ Klopatra ចេញពី JSON Packer ដែលបានបង្កប់។ មេរោគនេះក៏ស្នើសុំសេវាកម្មភាពងាយស្រួលរបស់ Android ដែលខណៈពេលដែលត្រូវបានរចនាឡើងដើម្បីជួយដល់អ្នកប្រើប្រាស់ដែលមានពិការភាព អាចត្រូវបានបំពានទៅ៖

• អានមាតិកាអេក្រង់
• កត់ត្រាការចុចគ្រាប់ចុច
• អនុវត្តសកម្មភាពដោយស្វ័យភាព

នេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការក្លែងបន្លំផ្នែកហិរញ្ញវត្ថុដោយមិនចាំបាច់ដឹងពីជនរងគ្រោះ។

ស្ថាបត្យកម្មកម្រិតខ្ពស់សម្រាប់បំបាំងកាយ និងភាពធន់

Klopatra លេចធ្លោដោយសារតែការរចនាដ៏ទំនើប និងធន់របស់វា៖

• ការរួមបញ្ចូល Virbox ការពារមេរោគពីការវិភាគ។
• មុខងារស្នូលបានផ្លាស់ប្តូរពី Java ទៅបណ្ណាល័យដើមសម្រាប់បង្កើនការបំបាំងកាយ។
• ការត្រួតពិនិត្យកូដយ៉ាងទូលំទូលាយ ការប្រឆាំងនឹងការបំបាត់កំហុស និងភាពត្រឹមត្រូវនៃពេលវេលាដំណើរការរារាំងការរកឃើញ។

មេរោគនេះក៏បិទកម្មវិធីកំចាត់មេរោគដែលបានដំឡើងជាមុន ហើយអាចបង្កើនការអនុញ្ញាតរបស់វាដោយប្រើសេវាកម្មភាពងាយស្រួល ដើម្បីការពារការបញ្ចប់។

ការអនុវត្តការក្លែងបន្លំ និងការកំណត់ពេលវេលាជាយុទ្ធសាស្ត្រ

ប្រតិបត្តិកររបស់ Klopatra អនុវត្តតាមលំដាប់នៃការវាយប្រហារដែលបានរៀបចំយ៉ាងប្រុងប្រយ័ត្ន៖

• ពិនិត្យមើលថាតើឧបករណ៍កំពុងសាកថ្ម ឬអត់ អេក្រង់បិទ ហើយឧបករណ៍នៅទំនេរ។
• កាត់បន្ថយពន្លឺអេក្រង់ដល់សូន្យ ហើយបង្ហាញការលាបពណ៌ខ្មៅ។
• ប្រើកូដ PIN ឬលំនាំដែលត្រូវបានលួច ដើម្បីចូលប្រើកម្មវិធីធនាគារ។
• អនុវត្តការផ្ទេរតាមធនាគារភ្លាមៗជាច្រើនដែលមិនបានរកឃើញ។

យុទ្ធសាស្រ្តពេលយប់នេះធានាថាឧបករណ៍នៅតែដំណើរការ និងមិនមានអ្នកមើល ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវបង្អួចដ៏ល្អមួយដើម្បីដំណើរការខណៈពេលដែលជនរងគ្រោះកំពុងដេក។

ផលប៉ះពាល់សម្រាប់វិស័យហិរញ្ញវត្ថុ

ខណៈពេលដែល Klopatra មិនបង្កើតមេរោគលើទូរស័ព្ទឡើងវិញ វាតំណាងឱ្យការកើនឡើងគួរឱ្យកត់សម្គាល់នៅក្នុងភាពទំនើបនៃការគំរាមកំហែង។ តាមរយៈការទទួលយកការការពារកម្រិតពាណិជ្ជកម្ម និងយុទ្ធសាស្ត្របំបាំងកាយ ប្រតិបត្តិករបង្កើនទាំងប្រាក់ចំណេញ និងអាយុកាលនៃប្រតិបត្តិការរបស់ពួកគេ។

Google បានបញ្ជាក់ថា គ្មានកម្មវិធីដែលឆ្លងមេរោគត្រូវបានរកឃើញនៅលើ Google Play នោះទេ ប៉ុន្តែការពឹងផ្អែករបស់មេរោគលើបណ្តាញចែកចាយកម្មវិធីភាគីទីបី និងលួចចម្លង បញ្ជាក់ពីហានិភ័យដែលកំពុងកើតមានចំពោះអ្នកប្រើប្រាស់ទូរស័ព្ទ។