Necro Trojan
នៅឆ្នាំ 2019 អ្នកស្រាវជ្រាវផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានរកឃើញបញ្ហាដ៏លំបាកមួយ៖ កម្មវិធី Android ស្របច្បាប់នៅលើ Google Play Store ត្រូវបានសម្របសម្រួលដោយបណ្ណាល័យភាគីទីបីដែលប្រើដោយអ្នកអភិវឌ្ឍន៍ដើម្បីបង្កើតប្រាក់ចំណូលពីការផ្សាយពាណិជ្ជកម្ម។ ការកែប្រែនេះនាំឱ្យឧបករណ៍ 100 លានត្រូវបានភ្ជាប់ទៅម៉ាស៊ីនមេដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដែលបន្ទាប់មកដាក់ពង្រាយបន្ទុកលាក់កំបាំង។
ស្ថានភាពស្រដៀងគ្នានេះបានកើតមានឡើងវិញហើយ។ អ្នកជំនាញ Infosec បានកំណត់អត្តសញ្ញាណកម្មវិធីថ្មីចំនួន 2 ដែលបានទាញយក 11 លានដងពី Google Play ដែលត្រូវបានឆ្លងមេរោគដោយក្រុមគ្រួសារមេរោគដូចគ្នា។ វាហាក់ដូចជាថាឧបករណ៍អភិវឌ្ឍន៍កម្មវិធីដែលមិនមានសុវត្ថិភាពដែលប្រើដើម្បីរួមបញ្ចូលមុខងារផ្សាយពាណិជ្ជកម្មគឺត្រូវស្តីបន្ទោសម្តងទៀត។
តារាងមាតិកា
តើ SDK ជាអ្វី?
ឧបករណ៍អភិវឌ្ឍន៍កម្មវិធី ឬ SDKs ផ្តល់ជូនអ្នកអភិវឌ្ឍន៍នូវក្របខ័ណ្ឌដែលបានបង្កើតជាមុន ដែលសម្រួល និងពន្លឿនដំណើរការបង្កើតកម្មវិធីដោយការដោះស្រាយកិច្ចការប្រចាំថ្ងៃ។ ក្នុងករណីនេះ ម៉ូឌុល SDK ដែលមិនបានផ្ទៀងផ្ទាត់ ដែលហាក់ដូចជាត្រូវបានរចនាឡើងដើម្បីគាំទ្រការបង្ហាញការផ្សាយពាណិជ្ជកម្មត្រូវបានដាក់បញ្ចូលទៅក្នុងកម្មវិធី។ ទោះយ៉ាងណាក៏ដោយ នៅក្រោមផ្ទៃខាងលើ វាបានបើកដំណើរការវិធីសាស្ត្រកម្រិតខ្ពស់សម្រាប់ការទំនាក់ទំនងសម្ងាត់ជាមួយម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួល។ វាអនុញ្ញាតឱ្យកម្មវិធីផ្ទុកទិន្នន័យអ្នកប្រើប្រាស់ និងទាញយកកូដគ្រោះថ្នាក់ ដែលអាចត្រូវបានប្រតិបត្តិ ឬធ្វើបច្ចុប្បន្នភាពនៅពេលណាក៏បាន។
តើ Necro Trojans ឆ្លងឧបករណ៍ដោយរបៀបណា?
គ្រួសារមេរោគដែលនៅពីក្រោយយុទ្ធនាការទាំងពីរត្រូវបានគេហៅថា Necro ហើយក្នុងករណីនេះ វ៉ារ្យ៉ង់មួយចំនួនប្រើបច្ចេកទេសកម្រិតខ្ពស់ដូចជា steganography ដែលជាវិធីសាស្ត្របំភាន់ដ៏កម្រក្នុងការគំរាមកំហែងតាមទូរស័ព្ទ។ វ៉ារ្យ៉ង់មួយចំនួនក៏ប្រើវិធីសាស្រ្តស្មុគ្រស្មាញផងដែរដើម្បីផ្តល់លេខកូដក្លែងបន្លំដែលមានសមត្ថភាពដំណើរការជាមួយនឹងសិទ្ធិប្រព័ន្ធកម្រិតខ្ពស់។ នៅពេលដែលឧបករណ៍មួយត្រូវបានឆ្លងមេរោគ វាទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ វាផ្ញើទិន្នន័យ JSON ដែលបានអ៊ិនគ្រីប ដែលរាយការណ៍ព័ត៌មានលម្អិតអំពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល និងកម្មវិធីដែលបង្ហោះម៉ូឌុលក្លែងបន្លំ។
បន្ទាប់មកម៉ាស៊ីនមេឆ្លើយតបជាមួយនឹងសារ JSON ដែលរួមបញ្ចូលតំណភ្ជាប់ទៅកាន់រូបភាព PNG និងទិន្នន័យមេតាដែលមានសញ្ញារបស់រូបភាព។ ប្រសិនបើម៉ូឌុលនៅលើឧបករណ៍ដែលមានមេរោគផ្ទៀងផ្ទាត់ hash វានឹងបន្តទាញយករូបភាព។
អ្នកស្រាវជ្រាវបានពន្យល់ថា ម៉ូឌុល SDK ប្រើក្បួនដោះស្រាយស្តេហ្គានក្រាហ្វិចសាមញ្ញ។ នៅពេលឆ្លងកាត់ការត្រួតពិនិត្យ MD5 វាទាញយកមាតិកានៃឯកសារ PNG ជាពិសេសតម្លៃភីកសែលពីបណ្តាញ ARGB ដោយប្រើឧបករណ៍ Android ស្តង់ដារ។ វិធីសាស្ត្រ getPixel ទាញយកតម្លៃដែលបៃយ៉ាងតិចបំផុតមានឆានែលពណ៌ខៀវនៃរូបភាព ហើយមេរោគចាប់ផ្តើមដំណើរការរបស់វាពីទីនោះ។
Necro Trojan អាចនាំឱ្យមានផលវិបាកធ្ងន់ធ្ងរ
ការផ្ទុកបន្តបន្ទាប់ដែលត្រូវបានដំឡើងដោយមេរោគទាញយកកម្មវិធីជំនួយក្លែងបន្លំដែលអាចប្ដូរតាមបំណងសម្រាប់ឧបករណ៍ដែលមានមេរោគនីមួយៗដើម្បីធ្វើសកម្មភាពផ្សេងៗ។ កម្មវិធីជំនួយមួយបែបនេះអនុញ្ញាតឱ្យកូដប្រតិបត្តិជាមួយនឹងសិទ្ធិប្រព័ន្ធកម្រិតខ្ពស់។ ជាធម្មតា ប្រព័ន្ធប្រតិបត្តិការ Android ដាក់កម្រិតលើដំណើរការដែលមានសិទ្ធិពីការប្រើប្រាស់ WebView ដែលជាសមាសធាតុសម្រាប់បង្ហាញគេហទំព័រនៅក្នុងកម្មវិធី។ ដើម្បីយកឈ្នះលើការរឹតបន្តឹងនេះ Necro ប្រើបច្ចេកទេសដែលគេស្គាល់ថាជាការវាយប្រហារឆ្លុះបញ្ចាំងដើម្បីបង្កើតការកើតឡើងដាច់ដោយឡែកនៃរោងចក្រ WebView ។
លើសពីនេះ កម្មវិធីជំនួយនេះអាចទាញយក និងប្រតិបត្តិឯកសារផ្សេងទៀតដែលកែប្រែតំណភ្ជាប់ដែលបង្ហាញតាមរយៈ WebView ។ ជាមួយនឹងការបង្កើនសិទ្ធិប្រព័ន្ធ កម្មវិធីដែលអាចប្រតិបត្តិបានទាំងនេះអាចផ្លាស់ប្តូរ URLs ដើម្បីបញ្ចូលលេខកូដបញ្ជាក់សម្រាប់ការជាវដែលបានបង់ប្រាក់ និងទាញយក និងដំណើរការកូដពីតំណភ្ជាប់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។ អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណចំនួនប្រាំផ្សេងគ្នាក្នុងអំឡុងពេលការវិភាគរបស់ពួកគេអំពី Necro ។ លើសពីនេះ រចនាសម្ព័ន្ធម៉ូឌុលនៃ Necro ផ្តល់នូវវិធីជាច្រើនសម្រាប់មេរោគក្នុងដំណើរការ។
Necro Trojan ត្រូវបានរកឃើញនៅក្នុងកម្មវិធីពីរ
អ្នកស្រាវជ្រាវបានកំណត់អត្តសញ្ញាណ Necro នៅក្នុងកម្មវិធីពីរនៅលើ Google Play ។ មួយក្នុងចំណោមពួកគេគឺ Wuta Camera ទទួលបាន 10 លានទាញយក។ កំណែ 6.3.2.148 ដល់ 6.3.6.148 នៃ Wuta Camera មាន SDK ព្យាបាទ ដែលទទួលខុសត្រូវចំពោះការឆ្លង ប៉ុន្តែកម្មវិធីត្រូវបានអាប់ដេតតាំងពីពេលនោះមក ដើម្បីលុបបំបាត់សមាសធាតុគ្រោះថ្នាក់។ កម្មវិធីមួយទៀត Max Browser ដែលមានការទាញយកប្រហែល 1 លានដងក៏ត្រូវបានសម្របសម្រួលផងដែរ។ ទោះយ៉ាងណាក៏ដោយ វាលែងមាននៅលើ Google Play ទៀតហើយ។
លើសពីនេះទៀតអ្នកស្រាវជ្រាវបានរកឃើញ Necro ឆ្លងកម្មវិធី Android ជាច្រើនដែលផ្តល់ជូននៅក្នុងទីផ្សារជំនួស។ កម្មវិធីទាំងនេះជាធម្មតាត្រូវបានបង្ហាញជាកំណែដែលបានកែប្រែនៃកម្មវិធីស្របច្បាប់ រួមមាន Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer និង Melon Sandbox។
