មេរោគ SMS Stealer Mobile Malware

ការវាយលុកតាមអ៊ីនធឺណិតជាសកលដែលសំដៅលើឧបករណ៍ Android ប្រើប្រាស់រូបយន្ត Telegram រាប់ពាន់ដើម្បីផ្សព្វផ្សាយមេរោគដែលលួចផ្ញើសារ SMS និងចាប់យកពាក្យសម្ងាត់ 2FA (OTPs) តែមួយដងសម្រាប់សេវាកម្មជាង 600 ។ អ្នកស្រាវជ្រាវបាននឹងកំពុងតាមដានប្រតិបត្តិការនេះតាំងពីខែកុម្ភៈ ឆ្នាំ 2022 ហើយបានកំណត់អត្តសញ្ញាណយ៉ាងហោចណាស់ 107,000 គំរូមេរោគតែមួយគត់ដែលភ្ជាប់ទៅនឹងយុទ្ធនាការនេះ។ អ្នកវាយប្រហារហាក់ដូចជាត្រូវបានជំរុញដោយការលើកទឹកចិត្តផ្នែកហិរញ្ញវត្ថុ ដែលទំនងជាប្រើប្រាស់ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដើម្បីជួយសម្រួលដល់ការផ្ទៀងផ្ទាត់ និងបង្កើនភាពមិនបញ្ចេញឈ្មោះ។

Telegram Bots រាប់ពាន់បានរីករាលដាលមេរោគ SMS Stealer Malware

មេរោគលួចផ្ញើសារ SMS ត្រូវបានរីករាលដាលតាមរយៈវិធីសាស្រ្តសំខាន់ពីរ៖ malvertising និង Telegram bots ដែលធ្វើអោយការប្រាស្រ័យទាក់ទងជាមួយជនរងគ្រោះដោយស្វ័យប្រវត្តិ។

នៅក្នុងវិធីទីមួយ ជនរងគ្រោះត្រូវបានបញ្ជូនទៅទំព័រ Google Play ក្លែងក្លាយ ដែលបង្ហាញលេខទាញយកដែលបំប៉ោង ដើម្បីឱ្យមានភាពស្របច្បាប់ និងទទួលបានទំនុកចិត្តពីជនរងគ្រោះ។

នៅលើ Telegram bots ផ្តល់ជូននូវកម្មវិធី Android លួចចម្លង និងស្នើសុំលេខទូរស័ព្ទរបស់ជនរងគ្រោះ មុនពេលផ្តល់ឯកសារ APK ។ លេខនេះត្រូវបានប្រើដោយ bot ដើម្បីបង្កើត APK ផ្ទាល់ខ្លួន បើកការតាមដានផ្ទាល់ខ្លួន ឬការវាយប្រហារនាពេលអនាគត។

ប្រតិបត្តិការនេះពឹងផ្អែកលើ Telegram bots ប្រមាណ 2,600 ដើម្បីចែកចាយ Android APKs ផ្សេងៗ ដែលគ្រប់គ្រងដោយម៉ាស៊ីនមេ 13 Command-and-Control (C2)។ បុគ្គលដែលរងផលប៉ះពាល់ភាគច្រើនគឺនៅក្នុងប្រទេសឥណ្ឌា និងរុស្ស៊ី ទោះបីជាចំនួនសំខាន់ៗក៏ត្រូវបានរាយការណ៍ផងដែរនៅក្នុងប្រទេសប្រេស៊ីល ម៉ិកស៊ិក និងសហរដ្ឋអាមេរិក។

របៀបដែលតួអង្គគំរាមកំហែងបង្កើតមូលនិធិពីជនរងគ្រោះ

មេរោគបញ្ជូនសារ SMS ដែលត្រូវបានស្ទាក់ចាប់ទៅកាន់ចំណុចបញ្ចប់ API នៅលើគេហទំព័រ 'fastsms.su.' គេហទំព័រនេះផ្តល់ជូននូវលេខទូរស័ព្ទ 'និម្មិត' ពីប្រទេសផ្សេងៗ ដែលអ្នកប្រើប្រាស់អាចទិញដោយអនាមិក និងដើម្បីផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៅលើវេទិកាអនឡាញ។ វាទំនងជាថាឧបករណ៍ដែលត្រូវបានសម្របសម្រួលកំពុងត្រូវបានប្រើប្រាស់ដោយសេវាកម្មនេះដោយគ្មានចំណេះដឹងរបស់ជនរងគ្រោះ។ មេរោគនេះប្រើប្រាស់ការអនុញ្ញាតចូលប្រើសារ SMS ដែលផ្តល់ទៅឱ្យវានៅលើឧបករណ៍ Android ដើម្បីចាប់យក OTPs ដែលត្រូវការសម្រាប់ការចុះឈ្មោះគណនី និងការផ្ទៀងផ្ទាត់ពីរកត្តា។

សម្រាប់ជនរងគ្រោះ វាអាចបណ្តាលឱ្យមានការគិតប្រាក់ដោយគ្មានការអនុញ្ញាតលើគណនីទូរស័ព្ទរបស់ពួកគេ និងការជាប់ពាក់ព័ន្ធដែលអាចកើតមាននៅក្នុងសកម្មភាពខុសច្បាប់ដែលបានតាមដានឧបករណ៍ និងលេខទូរស័ព្ទរបស់ពួកគេ។ ដើម្បីការពារប្រឆាំងនឹងការប្រើលេខទូរសព្ទខុស ជៀសវាងការទាញយកឯកសារ APK ពីប្រភពខាងក្រៅ Google Play ជៀសវាងការផ្តល់ការអនុញ្ញាតដែលមិនចាំបាច់ដល់កម្មវិធីដែលមានមុខងារដែលមិនពាក់ព័ន្ធ និងត្រូវប្រាកដថា Play Protect ត្រូវបានបើកនៅលើឧបករណ៍របស់អ្នក។

លំហូរការវាយប្រហារនៃប្រតិបត្តិការលួច SMS

ជនរងគ្រោះត្រូវបានបញ្ឆោតឱ្យដំឡើងកម្មវិធីក្លែងបន្លំតាមរយៈការផ្សាយពាណិជ្ជកម្មបំភាន់ដែលធ្វើត្រាប់តាមហាងកម្មវិធីស្របច្បាប់ ឬតាមរយៈ Telegram bots ស្វ័យប្រវត្តិដែលធ្វើអន្តរកម្មដោយផ្ទាល់ជាមួយគោលដៅ (ព័ត៌មានលម្អិតខាងក្រោម)។

ការស្នើសុំការអនុញ្ញាត - ការទទួលបានសិទ្ធិចូលប្រើ

នៅពេលដំឡើងរួច កម្មវិធីក្លែងបន្លំស្នើសុំការអនុញ្ញាតអានសារ SMS ដែលជាមុខងារដែលមានហានិភ័យខ្ពស់នៅលើ Android ដែលអនុញ្ញាតឱ្យចូលប្រើទិន្នន័យផ្ទាល់ខ្លួនដែលងាយរងគ្រោះ។ ខណៈពេលដែលកម្មវិធីស្របច្បាប់អាចត្រូវការការអនុញ្ញាត SMS សម្រាប់មុខងារជាក់លាក់ សំណើរបស់កម្មវិធីនេះត្រូវបានរចនាឡើងដើម្បីប្រមូលសារជាអក្សរឯកជនរបស់ជនរងគ្រោះ។

ការទាញយកពាក្យបញ្ជា និងគ្រប់គ្រងម៉ាស៊ីនមេ - ទាក់ទងមេ

ការគំរាមកំហែងបន្ទាប់មកភ្ជាប់ទៅម៉ាស៊ីនមេ Command and Control (C&C) របស់វា ដែលដឹកនាំប្រតិបត្តិការរបស់វា និងប្រមូលទិន្នន័យដែលបានប្រមូល។ ដំបូង មេរោគបានប្រើ Firebase ដើម្បីទទួលបានអាសយដ្ឋានម៉ាស៊ីនមេ C&C ប៉ុន្តែចាប់តាំងពីពេលនោះមកបានវិវឌ្ឍន៍ទៅប្រើប្រាស់ឃ្លាំង Github ឬបង្កប់អាសយដ្ឋានដោយផ្ទាល់នៅក្នុងកម្មវិធី។

ទំនាក់ទំនង C&C - រាយការណ៍ក្នុង និងផ្ទុកទិន្នន័យ

បន្ទាប់ពីធានាអាសយដ្ឋានម៉ាស៊ីនមេ C&C ឧបករណ៍ដែលឆ្លងមេរោគបង្កើតការតភ្ជាប់ទៅវា។ វាបម្រើគោលបំណងពីរ៖ 1) មេរោគជូនដំណឹងដល់ម៉ាស៊ីនមេអំពីស្ថានភាពសកម្មរបស់វា និង 2) វាបង្កើតឆានែលដើម្បីផ្ញើសារ SMS ដែលត្រូវបានលួច រួមទាំងលេខកូដ OTP ដ៏មានតម្លៃផងដែរ។

ការប្រមូលផល OTP - អ្នកប្រមូលសម្ងាត់

នៅដំណាក់កាលចុងក្រោយ មេរោគបានត្រួតពិនិត្យសារ SMS ចូលដោយស្ងៀមស្ងាត់ ដោយផ្តោតលើការស្ទាក់ចាប់ OTPs ដែលប្រើសម្រាប់ការផ្ទៀងផ្ទាត់គណនីអនឡាញ ខណៈដែលនៅមិនទាន់រកឃើញ។