មេរោគ MMRat ចល័ត

មេរោគធនាគារ Android ដែលកំពុងលេចចេញឈ្មោះ MMRat ប្រើបច្ចេកទេសទំនាក់ទំនងមិនធម្មតាដែលគេស្គាល់ថា protobuf data serialization។ វិធីសាស្រ្តនេះបង្កើនប្រសិទ្ធភាពរបស់មេរោគក្នុងការទាញយកព័ត៌មានពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

រកឃើញដោយអ្នកជំនាញសន្តិសុខតាមអ៊ីនធឺណិតក្នុងខែមិថុនា ឆ្នាំ 2023 MMRat ត្រូវបានផ្តោតជាចម្បងលើការកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលមានទីតាំងនៅអាស៊ីអាគ្នេយ៍។ ទោះបីជាវិធីសាស្រ្តច្បាស់លាស់នៃការផ្សព្វផ្សាយដំបូងរបស់មេរោគដល់ជនរងគ្រោះដែលអាចកើតមាននៅតែមិនស្គាល់ក៏ដោយ អ្នកស្រាវជ្រាវបានរកឃើញថា MMRat រីករាលដាលតាមរយៈគេហទំព័រដែលដាក់ថាជាហាងលក់កម្មវិធីស្របច្បាប់។

កម្មវិធីក្លែងបន្លំដែលផ្ទុកមេរោគ MMRat ត្រូវបានទាញយក និងដំឡើងដោយជនរងគ្រោះដែលមិនសង្ស័យ។ ជាញឹកញាប់ កម្មវិធីទាំងនេះក្លែងធ្វើជាកម្មវិធីរដ្ឋាភិបាល ឬវេទិកាណាត់ជួប។ ជាបន្តបន្ទាប់ កំឡុងពេលដំឡើង កម្មវិធីស្នើសុំឱ្យទទួលបានការអនុញ្ញាតសំខាន់ៗ រួមទាំងការចូលទៅកាន់សេវាកម្មភាពងាយស្រួលរបស់ Android ។

តាមរយៈការទាញយកអត្ថប្រយោជន៍ពីមុខងារភាពងាយស្រួល មេរោគនឹងធានាការអនុញ្ញាតបន្ថែមដោយស្វ័យប្រវត្តិសម្រាប់ខ្លួនវា។ នេះអនុញ្ញាតឱ្យ MMRat ប្រតិបត្តិអារេដ៏ធំទូលាយនៃសកម្មភាពបង្កគ្រោះថ្នាក់នៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

MMRat អនុញ្ញាតឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតគ្រប់គ្រងលើមុខងារឧបករណ៍ជាច្រើន។

នៅពេលដែល MMRat ទទួលបានសិទ្ធិចូលប្រើឧបករណ៍ Android វាបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 និងតាមដានសកម្មភាពឧបករណ៍សម្រាប់រយៈពេលទំនេរ។ ក្នុងអំឡុងពេលទាំងនេះ អ្នកវាយប្រហារទាញយកសេវាកម្មមធ្យោបាយងាយស្រួល ដើម្បីដាស់ឧបករណ៍ពីចម្ងាយ ដោះសោវា និងអនុវត្តការក្លែងបន្លំធនាគារតាមពេលវេលាជាក់ស្តែង។

មុខងារសំខាន់ៗរបស់ MMRat រួមមានការប្រមូលបណ្តាញ អេក្រង់ និងទិន្នន័យថ្ម ការទាញយកទំនាក់ទំនងអ្នកប្រើប្រាស់ និងបញ្ជីកម្មវិធី ចាប់យកធាតុចូលរបស់អ្នកប្រើប្រាស់តាមរយៈការចាក់សោរ ចាប់យកមាតិកាអេក្រង់តាមពេលវេលាជាក់ស្តែងតាមរយៈ MediaProjection API ការថតសំឡេង និងការផ្សាយបន្តផ្ទាល់ទិន្នន័យកាមេរ៉ា ការបោះចោលទិន្នន័យអេក្រង់ក្នុងអត្ថបទ។ បង្កើតទម្រង់ទៅម៉ាស៊ីនមេ C2 ហើយទីបំផុតការលុបខ្លួនវាដើម្បីលុបដាននៃការឆ្លង។

ការបញ្ជូនទិន្នន័យប្រកបដោយប្រសិទ្ធភាពរបស់ MMRat គឺមានសារៈសំខាន់សម្រាប់សមត្ថភាពរបស់វាក្នុងការចាប់យកមាតិកាអេក្រង់តាមពេលវេលាជាក់ស្តែង និងទាញយកទិន្នន័យអត្ថបទពី 'ស្ថានភាពស្ថានីយអ្នកប្រើប្រាស់'។ ដើម្បីបើកដំណើរការការក្លែងបន្លំធនាគារប្រកបដោយប្រសិទ្ធភាព អ្នកនិពន្ធនៃមេរោគបានរចនាពិធីការ Protobuf ផ្ទាល់ខ្លួនសម្រាប់ការស្រង់ទិន្នន័យ។

MMRat ប្រើប្រាស់បច្ចេកទេសទំនាក់ទំនងមិនធម្មតាមួយដើម្បីទៅដល់ Server របស់អ្នកវាយប្រហារ

MMRat ប្រើពិធីការម៉ាស៊ីនមេ Command and Control (C2) ដាច់ដោយឡែក ដោយប្រើអ្វីដែលគេស្គាល់ថាជា protocol buffers (Protobuf) ដើម្បីជួយសម្រួលដល់ការផ្ទេរទិន្នន័យដែលងាយស្រួល - កម្រមាននៅក្នុងអាណាចក្រនៃ trojans Android ។ Protobuf ដែលជាបច្ចេកទេសសៀរៀលទិន្នន័យដែលបង្កើតឡើងដោយ Google ដំណើរការស្រដៀងទៅនឹង XML និង JSON ប៉ុន្តែមានជើងតូចជាង និងលឿនជាង។

MMRat ប្រើប្រាស់ច្រក និងពិធីការចម្រុះសម្រាប់អន្តរកម្មរបស់វាជាមួយ C2 ។ ទាំងនេះរួមបញ្ចូល HTTP នៅលើច្រក 8080 សម្រាប់ការទាញយកទិន្នន័យ RTSP និងច្រក 8554 សម្រាប់ការផ្សាយវីដេអូ និងការអនុវត្ត Protobuf ផ្ទាល់ខ្លួននៅលើច្រក 8887 សម្រាប់ពាក្យបញ្ជា និងការគ្រប់គ្រង។

ភាពប្លែកនៃពិធីការ C&C ស្ថិតនៅត្រង់វាត្រូវបានកែសម្រួលដើម្បីប្រើ Netty ដែលជាក្របខ័ណ្ឌកម្មវិធីបណ្តាញ និង Protobuf ដែលបានលើកឡើងពីមុន។ នេះក៏រួមបញ្ចូលសារដែលមានរចនាសម្ព័ន្ធល្អផងដែរ។ នៅក្នុងការទំនាក់ទំនង C&C តួអង្គគំរាមកំហែងទទួលយករចនាសម្ព័ន្ធដ៏ទូលំទូលាយមួយដើម្បីបញ្ចូលប្រភេទសារទាំងអស់ និងពាក្យគន្លឹះ "មួយក្នុងចំណោម" ដើម្បីបង្ហាញពីប្រភេទទិន្នន័យខុសៗគ្នា។

លើសពីប្រសិទ្ធភាពរបស់ Protobuf ការប្រើប្រាស់ពិធីការផ្ទាល់ខ្លួនជួយជំរុញការគេចចេញពីឧបករណ៍សុវត្ថិភាពបណ្តាញដែលជាធម្មតាកំណត់អត្តសញ្ញាណគំរូដែលអាចស្គាល់បាននៃការគំរាមកំហែងដែលគេស្គាល់រួចហើយ។ សូមអរគុណចំពោះភាពបត់បែនរបស់ Protobuf អ្នកបង្កើត MMRat មានសេរីភាពក្នុងការកំណត់រចនាសម្ព័ន្ធសាររបស់ពួកគេ និងគ្រប់គ្រងវិធីសាស្ត្របញ្ជូនទិន្នន័យ។ ទន្ទឹមនឹងនេះ ការរចនាជាប្រព័ន្ធរបស់វាធានាថាការបញ្ជូនទិន្នន័យប្រកាន់ខ្ជាប់ទៅនឹងការរចនាដែលបានកំណត់ទុកជាមុន កាត់បន្ថយលទ្ធភាពនៃអំពើពុករលួយនៅពេលទទួលបាន។

ការគំរាមកំហែងតាមទូរស័ព្ទ MMRat បង្ហាញពីភាពស្មុគស្មាញនៃការវិវឌ្ឍន៍នៃ Trojans របស់ធនាគារ Android ជាមួយនឹងឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតរួមបញ្ចូលគ្នានូវប្រតិបត្តិការប្រកបដោយការប្រុងប្រយ័ត្នជាមួយនឹងបច្ចេកទេសទាញយកទិន្នន័យប្រកបដោយប្រសិទ្ធភាព។