មេរោគ Perseus Banking Malware

អ្នកវិភាគសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគ Android ថ្មីមួយប្រភេទ ដែលគេស្គាល់ថាជាមេរោគ Perseus Android ដែលត្រូវបានដាក់ពង្រាយយ៉ាងសកម្មនៅក្នុងពិភពពិត ដើម្បីឱ្យអាចមានការគ្រប់គ្រងឧបករណ៍ (DTO) និងអនុវត្តការក្លែងបន្លំហិរញ្ញវត្ថុ។ ការគំរាមកំហែងនេះតំណាងឱ្យការវិវត្តន៍ដ៏សំខាន់មួយនៅក្នុងមេរោគចល័ត ដោយរួមបញ្ចូលគ្នានូវបច្ចេកទេសដែលបានបង្កើតឡើងជាមួយនឹងភាពបត់បែនប្រតិបត្តិការកាន់តែប្រសើរឡើង។

ការវិវត្តន៍ពីពូជពង្សមេរោគដែលបានបញ្ជាក់

មេរោគ Perseus ត្រូវបានបង្កើតឡើងនៅលើមូលដ្ឋានគ្រឹះនៃមេរោគ Cerberus និងមេរោគ Phoenix Android ដែលទាំងពីរនេះសុទ្ធតែជាមេរោគ Trojan ធនាគារ Android ដ៏ល្បីល្បាញ។ មេរោគ Cerberus ត្រូវបានកត់ត្រាជាលើកដំបូងនៅក្នុងខែសីហា ឆ្នាំ២០១៩ ដោយបានរំលោភលើសេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីបង្កើនសិទ្ធិ ប្រមូលទិន្នន័យរសើប និងដាក់ពង្រាយការវាយប្រហារសម្រាប់ការលួចព័ត៌មានសម្ងាត់។ បន្ទាប់ពីកូដប្រភពរបស់វាលេចធ្លាយនៅឆ្នាំ២០២០ មេរោគដេរីវេជាច្រើនបានលេចចេញមក រួមទាំង Alien, ERMAC និង Phoenix។

Perseus ពង្រីកមូលដ្ឋានកូដ Phoenix ដោយវិវត្តទៅជាវេទិកាដែលអាចសម្របខ្លួនបាន និងមានសមត្ថភាពជាងមុន។ សូចនាករដូចជាការកត់ត្រាក្នុងកម្មវិធីយ៉ាងទូលំទូលាយ និងវត្ថុបុរាណកូដមិនធម្មតាបង្ហាញថា អ្នកគំរាមកំហែងអាចបានទាញយកអត្ថប្រយោជន៍ពីជំនួយគំរូភាសាធំ (LLM) ក្នុងអំឡុងពេលអភិវឌ្ឍន៍។

វ៉ិចទ័រឆ្លង៖ វិស្វកម្មសង្គមតាមរយៈកម្មវិធី IPTV

យុទ្ធសាស្ត្រចែកចាយពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវិស្វកម្មសង្គម។ Perseus ត្រូវបានចែកចាយតាមរយៈកម្មវិធី dropper ដែលបង្ហោះនៅលើគេហទំព័របន្លំ ដែលជារឿយៗក្លែងបន្លំជាសេវាកម្ម IPTV។ វិធីសាស្រ្តនេះឆ្លុះបញ្ចាំងពីយុទ្ធនាការដែលទាក់ទងនឹងមេរោគ Massiv Android ដោយកំណត់គោលដៅអ្នកប្រើប្រាស់ដែលស្វែងរកការចូលប្រើដោយគ្មានការអនុញ្ញាតចំពោះមាតិកាស្ទ្រីមលំដាប់ខ្ពស់។

តាមរយៈការបង្កប់នូវបន្ទុកផ្ទុកមេរោគព្យាបាទនៅក្នុងកម្មវិធី IPTV ដែលហាក់ដូចជាស្របច្បាប់ អ្នកវាយប្រហារកាត់បន្ថយការសង្ស័យរបស់អ្នកប្រើប្រាស់ និងបង្កើនអត្រាជោគជ័យនៃការឆ្លងមេរោគយ៉ាងខ្លាំង។ យុទ្ធនាការនេះផ្តោតជាចម្បងលើអ្នកប្រើប្រាស់នៅទូទាំងតំបន់ជាច្រើន រួមមានប្រទេសទួរគី អ៊ីតាលី ប៉ូឡូញ អាល្លឺម៉ង់ បារាំង អារ៉ាប់រួម និងព័រទុយហ្គាល់។

ខ្សែសង្វាក់នៃការដាក់ពង្រាយមេរោគ និងវត្ថុបុរាណដែលគេស្គាល់

កម្មវិធីជាច្រើនត្រូវបានកំណត់ថាជាផ្នែកមួយនៃប្រព័ន្ធអេកូឡូស៊ីចែកចាយ Perseus៖

• Roja App Directa (com.xcvuc.ocnsxn) - កម្មវិធី Dropper
• TvTApp (com.tvtapps.live) – បន្ទុក Perseus ចម្បង
• PolBox Tv (com.streamview.players) – វ៉ារ្យ៉ង់ payload បន្ទាប់បន្សំ

កម្មវិធីទាំងនេះបម្រើជាចំណុចចូលសម្រាប់ដំឡើងមេរោគនៅលើឧបករណ៍ដែលរងការគំរាមកំហែង។

សមត្ថភាព​គ្រប់គ្រង​ឧបករណ៍​កម្រិត​ខ្ពស់

Perseus ទាញយកអត្ថប្រយោជន៍ពីសេវាកម្មភាពងាយស្រួលប្រើប្រាស់របស់ Android ដើម្បីបង្កើតវគ្គពីចម្ងាយ ដែលអនុញ្ញាតឱ្យមានការត្រួតពិនិត្យពេលវេលាជាក់ស្តែង និងអន្តរកម្មយ៉ាងច្បាស់លាស់ជាមួយឧបករណ៍ដែលឆ្លងមេរោគ។ មុខងារនេះអនុញ្ញាតឱ្យមានការគ្រប់គ្រងឧបករណ៍ពេញលេញ ដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើសកម្មភាពរបស់អ្នកប្រើប្រាស់។

មិនដូចមេរោគ Trojans ធនាគារបែបប្រពៃណីទេ Perseus លើសពីការប្រមូលផលប័ត្រដោយតាមដានយ៉ាងសកម្មនូវកម្មវិធីកត់ត្រា។ ឥរិយាបថនេះបង្ហាញពីការផ្តោតអារម្មណ៍ដោយចេតនាលើការទាញយកព័ត៌មានផ្ទាល់ខ្លួន និងហិរញ្ញវត្ថុដែលមានតម្លៃខ្ពស់ ដែលអាចនឹងមិនត្រូវបានរក្សាទុកក្នុងវាលប័ណ្ណសម្គាល់ធម្មតា។

បច្ចេកទេសវាយប្រហារស្នូល៖ ការត្រួតលើគ្នា និងការស្ទាក់ចាប់ការបញ្ចូល

នៅពេលដែលវាសកម្ម Perseus ប្រើប្រាស់បច្ចេកទេសមេរោគធនាគារ Android ដ៏ល្បីល្បាញ។ វាចាប់ផ្តើមការវាយប្រហារលើអេក្រង់ដើម្បីបង្ហាញចំណុចប្រទាក់ក្លែងបន្លំលើកម្មវិធីធនាគារ និងរូបិយប័ណ្ណគ្រីបតូស្របច្បាប់ ដោយចាប់យកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ក្នុងពេលវេលាជាក់ស្តែង។ លើសពីនេះ ការកត់ត្រាការចុចគ្រាប់ចុចត្រូវបានប្រើដើម្បីស្ទាក់ចាប់ទិន្នន័យបញ្ចូលដ៏រសើបនៅពេលវាត្រូវបានបញ្ចូល។

ប្រតិបត្តិការបញ្ជា និងត្រួតពិនិត្យ៖ ក្របខ័ណ្ឌគ្រប់គ្រងពីចម្ងាយ

មេរោគ​នេះ​ត្រូវ​បាន​គ្រប់គ្រង​តាមរយៈ​ហេដ្ឋារចនាសម្ព័ន្ធ​បញ្ជា​និង​ត្រួតពិនិត្យ (C2) ដែល​អនុញ្ញាត​ឱ្យ​ប្រតិបត្តិករ​ចេញ​បញ្ជា រៀបចំ​ឥរិយាបថ​ឧបករណ៍ និង​អនុញ្ញាត​ឱ្យ​មាន​ប្រតិបត្តិការ​ក្លែងបន្លំ។ ពាក្យបញ្ជា​ដែល​គាំទ្រ​សំខាន់ៗ​រួមមាន៖

• ការស្រង់ចេញ និងការឃ្លាំមើលទិន្នន័យ (ឧទាហរណ៍ ការចាប់យកកំណត់ចំណាំពីកម្មវិធីដូចជា Google Keep, Evernote និង Microsoft OneNote)
• ការគ្រប់គ្រងវគ្គពីចម្ងាយតាមរយៈ VNC និង HVNC សម្រាប់អន្តរកម្ម UI ពេលវេលាជាក់ស្តែង ឬមានរចនាសម្ព័ន្ធ
• ការថតរូបភាពអេក្រង់ដោយប្រើសេវាកម្មភាពងាយស្រួល
• ការគ្រប់គ្រងកម្មវិធី រួមទាំងការបើកដំណើរការកម្មវិធី ឬការដកចេញនូវការរឹតបន្តឹង
• យុទ្ធសាស្ត្របោកបញ្ឆោតអ្នកប្រើប្រាស់ ដូចជាការលាបអេក្រង់ខ្មៅ និងការបិទសំឡេង
• ការដំឡើងដោយបង្ខំពីប្រភពដែលមិនស្គាល់ និងអន្តរកម្មអ្នកប្រើប្រាស់ដែលបានក្លែងធ្វើ

សំណុំពាក្យបញ្ជាដ៏ទូលំទូលាយនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការគ្រប់គ្រងជាប់លាប់ និងសម្ងាត់លើឧបករណ៍ដែលរងការគំរាមកំហែង។

យុទ្ធសាស្ត្រគេចវេស និងការយល់ដឹងអំពីបរិស្ថាន

Perseus បញ្ចូលបច្ចេកទេសប្រឆាំងការវិភាគកម្រិតខ្ពស់ដើម្បីគេចពីការរកឃើញ។ វាអនុវត្តការត្រួតពិនិត្យបរិស្ថានយ៉ាងទូលំទូលាយ រួមទាំងការកំណត់អត្តសញ្ញាណឧបករណ៍បំបាត់កំហុស ការផ្ទៀងផ្ទាត់វត្តមានស៊ីមកាត ការវិភាគចំនួនកម្មវិធីដែលបានដំឡើង និងការផ្ទៀងផ្ទាត់ម៉ែត្រថ្មដើម្បីបញ្ជាក់ពីការប្រតិបត្តិនៅលើឧបករណ៍ពិតប្រាកដ។

មេរោគ​នេះ​ប្រមូល​ទិន្នន័យ​នេះ​ទៅជា 'ពិន្ទុ​សង្ស័យ' ដែល​ត្រូវ​បាន​បញ្ជូន​ទៅ​ម៉ាស៊ីន​បម្រើ C2។ ដោយ​ផ្អែក​លើ​ពិន្ទុ​នេះ ប្រតិបត្តិករ​កំណត់​ថា​តើ​ត្រូវ​បន្ត​ការ​កេងប្រវ័ញ្ច​បន្ថែម​ទៀត ឬ​នៅ​ស្ងៀម​ដើម្បី​ជៀសវាង​ការ​រក​ឃើញ។

ផលប៉ះពាល់ជាយុទ្ធសាស្ត្រ៖ ប្រសិទ្ធភាពតាមរយៈការវិវត្តន៍

Perseus គឺជាឧទាហរណ៍នៃការវិវត្តន៍ជាបន្តបន្ទាប់នៃមេរោគ Android ដែលការគំរាមកំហែងថ្មីៗត្រូវបានបង្កើតឡើងកាន់តែខ្លាំងឡើងលើក្របខ័ណ្ឌដែលមានស្រាប់ជាជាងការអភិវឌ្ឍពីដំបូង។ តាមរយៈការបញ្ចូលគ្នានូវសមត្ថភាពដែលទទួលមរតកពី Cerberus និង Phoenix ជាមួយនឹងការបង្កើនប្រសិទ្ធភាពគោលដៅ ដូចជាការត្រួតពិនិត្យកំណត់ចំណាំ និងការបញ្ជាពីចម្ងាយដែលប្រសើរឡើង Perseus សម្រេចបាននូវតុល្យភាពរវាងប្រសិទ្ធភាព និងនវានុវត្តន៍។

វិធីសាស្រ្តនេះឆ្លុះបញ្ចាំងពីនិន្នាការកាន់តែទូលំទូលាយនៅក្នុងឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត៖ ការផ្តល់អាទិភាពដល់ការសម្របខ្លួន សមត្ថភាពធ្វើមាត្រដ្ឋាន និងការទាញយកទិន្នន័យដែលមានតម្លៃខ្ពស់ ដែលធ្វើឱ្យយុទ្ធនាការមេរោគទំនើបកាន់តែមានប្រសិទ្ធភាព និងពិបាករកឃើញ។