មេរោគ​ចល័ត​ដ៏​ធំ

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញមេរោគ Trojan ធនាគារ Android ដ៏ទំនើបមួយ ដែលគេស្គាល់ថា Massiv ដែលត្រូវបានរចនាឡើងដើម្បីអនុវត្តការវាយប្រហារដណ្តើមយកឧបករណ៍ (DTO) ដែលមានគោលបំណងលួចហិរញ្ញវត្ថុ។ មេរោគនេះក្លែងខ្លួនវាជាកម្មវិធី IPTV ស្របច្បាប់ ដោយកំណត់គោលដៅលើបុគ្គលដែលកំពុងស្វែងរកសេវាកម្មទូរទស្សន៍អនឡាញ។

ទោះបីជាត្រូវបានកំណត់អត្តសញ្ញាណនៅក្នុងយុទ្ធនាការផ្តោតអារម្មណ៍មួយចំនួនមានកំណត់ក៏ដោយ កម្រិតនៃការគំរាមកំហែងគឺមានសារៈសំខាន់។ នៅពេលដែលដំឡើងរួច Massiv អនុញ្ញាតឱ្យអ្នកវាយប្រហារគ្រប់គ្រងឧបករណ៍ដែលរងការលួចចូលពីចម្ងាយ ធ្វើប្រតិបត្តិការក្លែងបន្លំ និងកេងប្រវ័ញ្ចដោយផ្ទាល់ពីគណនីធនាគារចល័តរបស់ជនរងគ្រោះ។

មេរោគនេះត្រូវបានរកឃើញដំបូងនៅក្នុងយុទ្ធនាការដែលកំណត់គោលដៅអ្នកប្រើប្រាស់នៅប្រទេសព័រទុយហ្គាល់ និងក្រិកនៅដើមឆ្នាំនេះ។ ទោះជាយ៉ាងណាក៏ដោយ ការវិភាគផ្នែកកោសល្យវិច្ច័យបានតាមដានវ៉ារ្យ៉ង់គំរូត្រឡប់ទៅដើមឆ្នាំ 2025 ដែលបង្ហាញពីប្រតិបត្តិការសាកល្បងទ្រង់ទ្រាយតូចជាងមុន។

ការប្រមូលផលព័ត៌មានបញ្ជាក់អត្តសញ្ញាណកម្រិតខ្ពស់ និងការរៀបចំការត្រួតលើគ្នា

Massiv បញ្ចូលសមត្ថភាពដែលត្រូវបានរកឃើញជាទូទៅនៅក្នុងមេរោគធនាគារ Android កម្រិតខ្ពស់។ វាជួយសម្រួលដល់ការលួចព័ត៌មានសម្ងាត់តាមរយៈបច្ចេកទេសច្រើនយ៉ាង រួមទាំងការផ្សាយអេក្រង់តាមរយៈ MediaProjection API របស់ Android ការកត់ត្រាពាក្យសម្ងាត់ ការស្ទាក់ចាប់សារ SMS និងការលាបពណ៌បោកបញ្ឆោតដែលដាក់លើកម្មវិធីធនាគារ និងហិរញ្ញវត្ថុស្របច្បាប់។ ការលាបពណ៌ទាំងនេះជំរុញឱ្យអ្នកប្រើប្រាស់ដាក់ស្នើព័ត៌មានសម្ងាត់ចូល និងព័ត៌មានកាតឥណទាន។

យុទ្ធនាការគួរឱ្យកត់សម្គាល់មួយបានកំណត់គោលដៅជាពិសេសទៅលើ gov.pt ដែលជាកម្មវិធីរបស់រដ្ឋាភិបាលព័រទុយហ្គាល់ដែលប្រើសម្រាប់រក្សាទុកឯកសារកំណត់អត្តសញ្ញាណ និងគ្រប់គ្រង Digital Mobile Key (Chave Móvel Digital ឬ CMD)។ មេរោគ​ប្រភេទ​នេះ​បាន​ក្លែងបន្លំ​ចំណុចប្រទាក់​ផ្លូវការ ហើយបានស្នើសុំលេខទូរស័ព្ទ និងលេខកូដ PIN របស់អ្នកប្រើប្រាស់ ដែលទំនងជាគេចវេះដំណើរការផ្ទៀងផ្ទាត់ Know Your Customer (KYC)។

ការស៊ើបអង្កេតក៏បានបង្ហាញពីករណីដែលទិន្នន័យដែលត្រូវបានគេលួចត្រូវបានគេប្រើប្រាស់ដើម្បីបើកគណនីធនាគារថ្មីក្នុងនាមជនរងគ្រោះ។ គណនីក្លែងបន្លំទាំងនេះត្រូវបានប្រើប្រាស់ជាបន្តបន្ទាប់សម្រាប់ប្រតិបត្តិការលាងលុយកខ្វក់ ឬការដាក់ពាក្យសុំប្រាក់កម្ចីដែលគ្មានការអនុញ្ញាត ដោយជនរងគ្រោះមិនដឹងខ្លួន។

សមត្ថភាពបញ្ជាពីចម្ងាយ និងការគេចវេសពីការថតអេក្រង់

ក្រៅពីការលួចព័ត៌មានសម្ងាត់ Massiv ដំណើរការជាឧបករណ៍ចូលប្រើពីចម្ងាយដែលមានមុខងារពេញលេញ។ វាផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងដោយសម្ងាត់នៃឧបករណ៍ដែលឆ្លងមេរោគ ខណៈពេលដែលបង្ហាញអេក្រង់ខ្មៅដើម្បីលាក់សកម្មភាពព្យាបាទ។ បច្ចេកទេសទាំងនេះកេងប្រវ័ញ្ចសេវាកម្មភាពងាយស្រួលរបស់ Android ដែលជាយុទ្ធសាស្ត្រដែលក៏ត្រូវបានគេសង្កេតឃើញនៅក្នុងមេរោគ Trojans ធនាគារផ្សេងទៀតដូចជា Crocodilus, Datzbro និង Klopatra ផងដែរ។

កម្មវិធីហិរញ្ញវត្ថុមួយចំនួនអនុវត្តយន្តការការពារការចាប់យកអេក្រង់។ ដើម្បីរំលងការការពារទាំងនេះ Massiv ដាក់ពង្រាយបច្ចេកទេសមួយដែលហៅថា 'របៀបដើមឈើ UI'។ វិធីសាស្ត្រនេះឆ្លងកាត់ឫសគល់ AccessibilityWindowInfo ហើយដំណើរការវត្ថុ AccessibilityNodeInfo ឡើងវិញ ដើម្បីបង្កើតឡើងវិញនូវការតំណាងលម្អិតនៃចំណុចប្រទាក់ដែលអាចមើលឃើញរបស់ឧបករណ៍។

មេរោគបង្កើតផែនទី JSON ដែលមានរចនាសម្ព័ន្ធ ដែលមានអត្ថបទដែលអាចមើលឃើញ ការពិពណ៌នាខ្លឹមសារ ធាតុ UI កូអរដោនេអេក្រង់ និងទង់អន្តរកម្ម ដែលបង្ហាញថាតើធាតុអាចចុចបាន អាចកែសម្រួលបាន ផ្តោត ឬបើកដំណើរការបានឬអត់។ មានតែណូតដែលអាចមើលឃើញដែលមានអត្ថបទប៉ុណ្ណោះដែលត្រូវបានបញ្ជូនទៅហេដ្ឋារចនាសម្ព័ន្ធពាក្យបញ្ជារបស់អ្នកវាយប្រហារ ដែលអនុញ្ញាតឱ្យមានអន្តរកម្មពីចម្ងាយយ៉ាងច្បាស់លាស់តាមរយៈពាក្យបញ្ជាដែលបានចេញ។

មុខងារព្យាបាទដ៏ទូលំទូលាយ

Massiv ត្រូវបានបំពាក់ដោយឧបករណ៍ប្រតិបត្តិការដ៏ទូលំទូលាយមួយដែលអាចឱ្យមានការគ្រប់គ្រងឧបករណ៍យ៉ាងទូលំទូលាយ និងស្ថេរភាព។ សមត្ថភាពរបស់វារួមមាន៖

• ការធ្វើឱ្យសកម្ម ឬបិទការត្រួតលើអេក្រង់ខ្មៅ ការបិទសំឡេង និងរំញ័រ
• ការផ្សាយអេក្រង់ឧបករណ៍ និងការផ្ញើព័ត៌មានឧបករណ៍
• អនុវត្តកាយវិការចុច និងអូសពីចម្ងាយ
• កំពុងកែប្រែខ្លឹមសារក្ដារតម្បៀតខ្ទាស់
• ដោះសោឧបករណ៍ដោយប្រើការផ្ទៀងផ្ទាត់លំនាំ
• ការដាក់ពង្រាយ​ស្រទាប់​ខាងក្រៅ​សម្រាប់​កម្មវិធី​គោលដៅ ឬ​អេក្រង់​ចាក់សោ
• ការទាញយកកញ្ចប់ត្រួតលើគ្នា និងការដំឡើងឯកសារ APK បន្ថែម
• ការបើកការកំណត់ប្រព័ន្ធដូចជា Battery Optimization, Device Administrator និង Play Protect
• កំពុងស្នើសុំការអនុញ្ញាតដំឡើងសារ SMS និងកញ្ចប់
• កំពុងសម្អាតមូលដ្ឋានទិន្នន័យកំណត់ហេតុឧបករណ៍

មុខងារទាំងនេះរួមគ្នាអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការគ្រប់គ្រង គេចវេះពីការរកឃើញ និងអនុវត្តការក្លែងបន្លំហិរញ្ញវត្ថុដោយភាពជាក់លាក់។

យុទ្ធសាស្ត្រចែកចាយ៖ ឧបករណ៍ទម្លាក់តាមប្រធានបទ IPTV

មេរោគដ៏ធំរីករាលដាលតាមរយៈយុទ្ធនាការបន្លំតាមសារ SMS ដោយប្រើកម្មវិធី dropper ដែលធ្វើត្រាប់តាមសេវាកម្ម IPTV។ បន្ទាប់ពីដំឡើងរួច កម្មវិធី dropper នឹងជំរុញឱ្យជនរងគ្រោះដំឡើងការអាប់ដេត 'សំខាន់' ហើយស្នើសុំការអនុញ្ញាតឱ្យដំឡើងកម្មវិធីពីប្រភពខាងក្រៅ។

វត្ថុបុរាណព្យាបាទដែលបានកំណត់អត្តសញ្ញាណរួមមាន៖

• IPTV24 (hfgx.mqfy.fejku) – កម្មវិធី​ទម្លាក់​ទឹក
• Google Play (hobfjp.anrxf.cucm) – បន្ទុក​ដ៏​ច្រើន​សន្ធឹកសន្ធាប់

ក្នុងករណីភាគច្រើនដែលបានកត់ត្រាទុក កម្មវិធី IPTV ស្របច្បាប់មិនត្រូវបានសម្របសម្រួលទេ។ ផ្ទុយទៅវិញ ឧបករណ៍ទម្លាក់មេរោគគ្រាន់តែបង្ហាញខ្លឹមសារគេហទំព័រដែលទាក់ទងនឹង IPTV តាមរយៈ WebView ដែលបង្កើតការបំភាន់នៃមុខងារខណៈពេលដែលមេរោគត្រូវបានប្រតិបត្តិនៅផ្ទៃខាងក្រោយ។

ក្នុងរយៈពេលប្រាំមួយខែកន្លងមកនេះ យុទ្ធនាការដំណក់ទឹកដែលមានប្រធានបទទូរទស្សន៍ស្រដៀងគ្នានេះ បានកំណត់គោលដៅជាចម្បងទៅលើប្រទេសអេស្ប៉ាញ ព័រទុយហ្គាល់ បារាំង និងតួកគី។

សូចនាករនៃពាណិជ្ជកម្មភាវូបនីយកម្ម និងការអភិវឌ្ឍជាបន្តបន្ទាប់

Massiv ចូលទៅក្នុងប្រព័ន្ធអេកូឡូស៊ីមេរោគ Android ដែលឆ្អែតឆ្អន់រួចទៅហើយ ដោយគូសបញ្ជាក់ពីតម្រូវការជាប់លាប់សម្រាប់ដំណោះស្រាយក្លែងបន្លំហិរញ្ញវត្ថុជាបន្ទាន់នៅក្នុងសហគមន៍ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត។

ទោះបីជាមិនទាន់ត្រូវបានបញ្ជាក់ថាជាការផ្តល់ជូន Malware-as-a-Service ក៏ដោយ ការវិភាគបង្ហាញពីចលនាក្នុងទិសដៅនោះ។ ការណែនាំអំពីសោ API សម្រាប់ការទំនាក់ទំនងផ្នែកខាងក្រោយបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដើម្បីធ្វើឱ្យប្រតិបត្តិការមានលក្ខណៈស្តង់ដារ និងអាចឱ្យប្រើប្រាស់ភាគីទីបីបាន។ ការពិនិត្យឡើងវិញនូវកូដបង្ហាញពីការអភិវឌ្ឍយ៉ាងសកម្ម ដែលជាសញ្ញាបង្ហាញថាមុខងារបន្ថែម និងសមត្ថភាពដែលបានពង្រីកអាចនឹងលេចចេញជារូបរាងឡើងនៅក្នុងកំណែថ្មីនាពេលអនាគត។