PixPirate Banking Trojan

នៅខែកុម្ភៈ ឆ្នាំ 2024 អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបាននាំមកបំភ្លឺអំពីអត្ថិភាពនៃមេរោគ Android ដែលមិនស្គាល់ពីមុនដែលត្រូវបានតាមដានជា PixPirate ។ ការគំរាមកំហែងនេះត្រូវបានដាក់ពង្រាយក្នុងការវាយប្រហារជាគោលដៅប្រឆាំងនឹងធនាគារនៅអាមេរិកឡាទីន។ បច្ចុប្បន្ននេះ អ្នកជំនាញបានដាស់តឿនថា ការអាប់ដេតឡើងវិញនៃ PixPirate Banking Trojan បានកើតឡើង ដែលបង្ហាញពីបច្ចេកទេសបំបាំងកាយថ្មីមួយ ដែលអនុញ្ញាតឱ្យវាបន្តនៅលើឧបករណ៍ សូម្បីតែបន្ទាប់ពីកម្មវិធី dropper របស់វាត្រូវបានយកចេញក៏ដោយ។

PixPirate ប្រើប្រាស់កម្មវិធីពីរផ្សេងគ្នាដើម្បីប្រមូលព័ត៌មានធនាគារពីទូរស័ព្ទ Android របស់ជនរងគ្រោះ

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ពីការចាកចេញដ៏សំខាន់ពីយុទ្ធសាស្ត្រធម្មតាដែលប្រើដោយមេរោគ ជាពិសេសជាមួយ PixPirate ។ មិនដូចមេរោគធម្មតាដែលព្យាយាមលាក់រូបតំណាងរបស់វាទេ យុទ្ធសាស្ត្រដែលអាចធ្វើទៅបាននៅលើកំណែ Android រហូតដល់ 9 PixPirate ជំនួសវិញមិនប្រើរូបតំណាងកម្មវិធីបើកដំណើរការទាំងអស់គ្នាទេ។ វិធីសាស្រ្តពិសេសនេះអនុញ្ញាតឱ្យមេរោគនៅតែលាក់នៅលើប្រព័ន្ធ Android ថ្មីៗនេះ ដោយបន្តរហូតដល់កំណែ 14។ ទោះជាយ៉ាងណាក៏ដោយ អវត្ដមាននៃរូបតំណាងបង្ហាញពីបញ្ហាប្រឈមមួយទៀត៖ ការផ្តល់មធ្យោបាយសម្រាប់ជនរងគ្រោះដើម្បីចាប់ផ្តើមមេរោគនោះទេ។ ដើម្បីជៀសផុតពីបញ្ហានេះ PixPirate ប្រើកម្មវិធីផ្សេងគ្នាពីរដែលដំណើរការស្របគ្នាដើម្បីប្រមូលទិន្នន័យរសើបពីឧបករណ៍ដែលមានមេរោគ។

កម្មវិធីដំបូងដែលហៅថា 'អ្នកទាញយក' ត្រូវបានរីករាលដាលជា APKs (Android Package Files) និងចែកចាយតាមរយៈសារបន្លំនៅលើវេទិកាដូចជា WhatsApp ឬ SMS ជាដើម។ នៅពេលដំឡើងរួច កម្មវិធីទាញយកនេះស្នើសុំការចូលប្រើការអនុញ្ញាតដែលមានហានិភ័យខ្ពស់ រួមទាំងសេវាភាពងាយស្រួលផងដែរ។ ក្រោយមក វាបន្តទៅយក និងដំឡើងកម្មវិធីទីពីរ ដែលមានឈ្មោះថា 'droppee' ដែលជាមេរោគ PixPirate banking malware ដែលបានអ៊ិនគ្រីប។

កម្មវិធី 'droppee' ហាមប្រាមពីការប្រកាសសកម្មភាពចម្បងជាមួយ 'android.intent.action.MAIN' និង 'android.intent.category.LAUNCHER' នៅក្នុងការបង្ហាញរបស់វា ដោយហេតុនេះធានាថាមិនមានរូបតំណាងនៅលើអេក្រង់ដើម ដែលបង្ហាញវាទាំងស្រុង។ មិនច្បាស់។ ផ្ទុយទៅវិញ កម្មវិធី droppee នាំចេញសេវាកម្មដែលកម្មវិធីផ្សេងទៀតអាចចូលប្រើបាន។ កម្មវិធីទាញយកបង្កើតការភ្ជាប់ទៅសេវាកម្មនេះ ដើម្បីចាប់ផ្តើមដំណើរការមេរោគ PixPirate តាមតម្រូវការ។

គន្លឹះផ្សេងៗអាចចាប់ផ្តើមការប្រតិបត្តិនៃ PixPirate Banking Trojan

បន្ថែមពីលើសមត្ថភាពរបស់កម្មវិធី dropper ដើម្បីផ្តួចផ្តើម និងគ្រប់គ្រងមេរោគ PixPirate ក៏អាចត្រូវបានបង្កឡើងដោយព្រឹត្តិការណ៍ប្រព័ន្ធផ្សេងៗ ដូចជាការចាប់ផ្ដើមឧបករណ៍ ឬការផ្លាស់ប្តូរនៅក្នុងការតភ្ជាប់ ដែលវាត្រួតពិនិត្យយ៉ាងសកម្ម។ នេះអនុញ្ញាតឱ្យ PixPirate ដំណើរការដោយសម្ងាត់នៅក្នុងផ្ទៃខាងក្រោយនៃឧបករណ៍របស់ជនរងគ្រោះ។

សមាសធាតុ droppee របស់ PixPirate មានសេវាកម្មមួយដែលមានឈ្មោះថា 'com.companian.date.sepherd' ដែលត្រូវបាននាំចេញ និងបំពាក់ដោយតម្រងចេតនាប្រើប្រាស់សកម្មភាពផ្ទាល់ខ្លួន 'com.ticket.stage.Service ។' នៅពេលដែលអ្នកទាញយកមានបំណងបើកដំណើរការ droppee វាបង្កើតការតភ្ជាប់ជាមួយសេវាកម្មនេះដោយប្រើប្រាស់ API 'BindService' រួមជាមួយនឹងទង់ 'BIND_AUTO_CREATE' ។ សកម្មភាពនេះនាំឱ្យមានការបង្កើត និងដំណើរការសេវាកម្ម droppee ។

បន្ទាប់ពីដំណើរការបង្កើត និងចងភ្ជាប់នៃសេវាកម្ម droppee នោះ droppee APK ត្រូវបានបើកដំណើរការ និងចាប់ផ្តើមប្រតិបត្តិការរបស់វា។ នៅពេលនេះ ទោះបីជាជនរងគ្រោះដកកម្មវិធីទាញយកចេញពីឧបករណ៍ក៏ដោយ PixPirate អាចបន្តរក្សាប្រតិបត្តិការរបស់ខ្លួន ដែលបង្កឡើងដោយព្រឹត្តិការណ៍ឧបករណ៍ផ្សេងៗ ខណៈពេលដែលលាក់វត្តមានរបស់វាពីអ្នកប្រើប្រាស់យ៉ាងមានប្រសិទ្ធភាព។

PixPirate កំណត់គោលដៅជាក់លាក់នៃវេទិកាទូទាត់ Pix

មេរោគនេះផ្តោតជាពិសេសទៅលើវេទិកាទូទាត់ភ្លាមៗរបស់ Pix នៅក្នុងប្រទេសប្រេស៊ីល គោលបំណងដើម្បីបំប្លែងមូលនិធិដល់អ្នកវាយប្រហារដោយការស្ទាក់ចាប់ ឬចាប់ផ្តើមប្រតិបត្តិការក្លែងបន្លំ។ Pix ទទួលបានប្រជាប្រិយភាពយ៉ាងខ្លាំងនៅក្នុងប្រទេសប្រេស៊ីល ដោយមានអ្នកប្រើប្រាស់ជាង 140 លាននាក់ធ្វើប្រតិបត្តិការលើសពី 250 ពាន់លានដុល្លារគិតត្រឹមខែមីនា ឆ្នាំ 2023។

PixPirate ប្រើប្រាស់សមត្ថភាព Remote Access Trojan (RAT) ដើម្បីធ្វើស្វ័យប្រវត្តិកម្មដំណើរការក្លែងបន្លំទាំងមូល ចាប់ពីការចាប់យកព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ និងលេខកូដផ្ទៀងផ្ទាត់កត្តាពីរ ដល់ប្រតិបត្តិការផ្ទេរប្រាក់ Pix ដែលគ្មានការអនុញ្ញាត ទាំងអស់លួចលាក់ដោយគ្មានការយល់ដឹងពីអ្នកប្រើប្រាស់។ ទោះយ៉ាងណាក៏ដោយ ការសម្រេចបាននូវកិច្ចការទាំងនេះ ទាមទារការទទួលបានការអនុញ្ញាតពីសេវាកម្មភាពងាយស្រួល។

លើសពីនេះ PixPirate រួមបញ្ចូលយន្តការគ្រប់គ្រងដោយដៃជំនួសសម្រាប់ករណីដែលវិធីសាស្ត្រស្វ័យប្រវត្តិបរាជ័យ ដោយផ្តល់ឱ្យអ្នកវាយប្រហារនូវមធ្យោបាយជំនួសដើម្បីអនុវត្តការក្លែងបន្លំនៅលើឧបករណ៍។ អ្នកស្រាវជ្រាវក៏បានគូសបញ្ជាក់ផងដែរអំពីការប្រើប្រាស់មេរោគនៃការជំរុញការជូនដំណឹងមិនប្រក្រតី និងសមត្ថភាពរបស់វាក្នុងការបិទ Google Play Protect ដែលជាមុខងារសុវត្ថិភាពជាមូលដ្ឋានរបស់ប្រព័ន្ធប្រតិបត្តិការ Android ។

ខណៈពេលដែលវិធីសាស្រ្តនៃការឆ្លងមេរោគដែលប្រើប្រាស់ដោយ PixPirate មិនមានភាពសាមញ្ញ និងអាចកាត់បន្ថយបានដោយការបដិសេធពីការទាញយក APKs ដែលគ្មានការអនុញ្ញាត ការទទួលយកនូវយុទ្ធសាស្រ្តរបស់វាដូចជាអវត្តមាននៃរូបតំណាង និងការចុះឈ្មោះសេវាកម្មដែលភ្ជាប់ទៅនឹងព្រឹត្តិការណ៍ប្រព័ន្ធតំណាងឱ្យវិធីសាស្រ្តដែលពាក់ព័ន្ធ និងប្រលោមលោក។