SoumniBot Malware ចល័ត

ប្រព័ន្ធប្រតិបត្តិការ Android Trojan ដែលមិនស្គាល់ពីមុនមានឈ្មោះថា SoumniBot បានលេចចេញ និងកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់យ៉ាងសកម្មនៅក្នុងប្រទេសកូរ៉េខាងត្បូង។ វាទាញយកប្រយោជន៍ពីភាពងាយរងគ្រោះនៅក្នុងដំណើរការស្រង់ចេញ និងវិភាគដែលបង្ហាញឱ្យឃើញ។ អ្វី​ដែល​កំណត់​មេរោគ​នេះ​ដាច់​ពី​គ្នា​គឺ​យុទ្ធសាស្ត្រ​ពិសេស​របស់​វា​ដើម្បី​ជៀសវាង​ការ​រក​ឃើញ និង​ការ​វិភាគ ជា​ចម្បង​តាម​រយៈ​ការ​យល់​ច្រឡំ​នៃ​ឯកសារ​បង្ហាញ Android។

កម្មវិធី Android នីមួយៗត្រូវបានអមដោយឯកសារ XML ដែលបង្ហាញឈ្មោះ "AndroidManifest.xml" ដែលមានទីតាំងនៅក្នុងថតឫស។ ឯកសារនេះរៀបរាប់អំពីសមាសធាតុ សិទ្ធិអនុញ្ញាត និងផ្នែករឹង និងផ្នែកទន់របស់កម្មវិធី។

ដោយយល់ថាអ្នកប្រមាញ់ការគំរាមកំហែងជាទូទៅចាប់ផ្តើមការវិភាគរបស់ពួកគេដោយការពិនិត្យមើលឯកសារបង្ហាញរបស់កម្មវិធីដើម្បីបញ្ជាក់ពីមុខងាររបស់វា តួអង្គព្យាបាទដែលទទួលខុសត្រូវចំពោះមេរោគនេះត្រូវបានគេសង្កេតឃើញដោយប្រើបច្ចេកទេសផ្សេងគ្នាចំនួនបីដើម្បីធ្វើឱ្យដំណើរការនេះស្មុគស្មាញយ៉ាងខ្លាំង។

មេរោគទូរស័ព្ទចល័ត SoumniBot ប្រើវិធានការប្រលោមលោក ដើម្បីជៀសវាងការរកឃើញ

វិធីសាស្រ្តដំបូងពាក់ព័ន្ធនឹងការរៀបចំតម្លៃវិធីសាស្ត្របង្ហាប់កំឡុងពេលពន្លាឯកសារបង្ហាញរបស់ APK ដោយប្រើបណ្ណាល័យ libziparchive។ វិធីសាស្រ្តនេះទាញយកឥរិយាបថរបស់បណ្ណាល័យ ដែលចាត់ទុកតម្លៃណាមួយក្រៅពី 0x0000 ឬ 0x0008 ថាមិនបានបង្ហាប់ ដែលអនុញ្ញាតឱ្យអ្នកអភិវឌ្ឍន៍បញ្ចូលតម្លៃណាមួយលើកលែងតែ 8 និងសរសេរទិន្នន័យដែលមិនបានបង្ហាប់។

ទោះបីជាត្រូវបានចាត់ទុកថាមិនត្រឹមត្រូវដោយអ្នកពន្លាកញ្ចប់ជាមួយនឹងសុពលភាពនៃវិធីសាស្ត្របង្ហាប់ត្រឹមត្រូវក៏ដោយ អ្នកញែក Android APK បកស្រាយយ៉ាងត្រឹមត្រូវនូវការបង្ហាញបែបនេះ ដោយអនុញ្ញាតឱ្យដំឡើងកម្មវិធី។ គួរកត់សម្គាល់ថាបច្ចេកទេសនេះត្រូវបានអនុម័តដោយតួអង្គគំរាមកំហែងដែលទាក់ទងនឹង Trojan ធនាគារ Android ផ្សេងៗចាប់តាំងពីខែមេសា ឆ្នាំ 2023។

ទីពីរ SoumniBot ប្រឌិតទំហំឯកសារបង្ហាញក្នុងប័ណ្ណសារ ដោយបង្ហាញតម្លៃលើសពីទំហំពិតប្រាកដ។ ដូច្នេះហើយ ឯកសារ 'មិនបានបង្ហាប់' ត្រូវបានចម្លងដោយផ្ទាល់ ដោយអ្នកញែក manifest មិនយកចិត្តទុកដាក់លើទិន្នន័យ 'ត្រួតលើគ្នា' អតិរេក។ ខណៈពេលដែលអ្នកញែក manifest តឹងរ៉ឹងនឹងបរាជ័យក្នុងការបកស្រាយឯកសារបែបនេះ ឧបករណ៍ញែក Android ដោះស្រាយការបង្ហាញកំហុសដោយមិនជួបប្រទះកំហុស។

យុទ្ធសាស្ត្រចុងក្រោយពាក់ព័ន្ធនឹងការប្រើប្រាស់ឈ្មោះ XML ដែលវែងនៅក្នុងឯកសារបង្ហាញ ដែលធ្វើអោយស្មុគស្មាញដល់ការបែងចែកអង្គចងចាំគ្រប់គ្រាន់សម្រាប់ឧបករណ៍វិភាគដើម្បីដំណើរការពួកវា។ ទោះយ៉ាងណាក៏ដោយ ឧបករណ៍ញែក manifest ត្រូវបានរចនាឡើងដើម្បីមិនយកចិត្តទុកដាក់លើ namespaces ដូច្នេះដំណើរការឯកសារដោយមិនបង្កើតកំហុសណាមួយឡើយ។

SoumniBot កំណត់​គោលដៅ​ទិន្នន័យ​រសើប​លើ​ឧបករណ៍ Android ដែល​បាន​បំពាន

បន្ទាប់ពីត្រូវបានធ្វើឱ្យសកម្ម SoumniBot ទាញយកទិន្នន័យការកំណត់រចនាសម្ព័ន្ធរបស់វាពីអាសយដ្ឋានម៉ាស៊ីនមេដែលបានកំណត់ជាមុន ដើម្បីទទួលបានម៉ាស៊ីនមេដែលប្រើប្រាស់សម្រាប់ការបញ្ជូនទិន្នន័យដែលបានប្រមូល និងទទួលពាក្យបញ្ជាតាមរយៈពិធីការផ្ញើសារ MQTT ។

វាត្រូវបានកម្មវិធីដើម្បីបើកដំណើរការសេវាកម្មដែលមិនមានសុវត្ថិភាពដែលចាប់ផ្តើមឡើងវិញរៀងរាល់ 16 នាទីម្តងក្នុងករណីមានការបិទ ធានានូវប្រតិបត្តិការជាបន្តបន្ទាប់ខណៈពេលដែលការបង្ហោះព័ត៌មានរៀងរាល់ 15 វិនាទី។ ទិន្នន័យនេះរួមបញ្ចូលទិន្នន័យមេតារបស់ឧបករណ៍ បញ្ជីទំនាក់ទំនង សារ SMS រូបថត វីដេអូ និងបញ្ជីឈ្មោះកម្មវិធីដែលបានដំឡើង។

លើសពីនេះ មេរោគមានមុខងារដូចជា បន្ថែម និងលុបទំនាក់ទំនង បញ្ជូនសារ SMS បិទបើករបៀបស្ងាត់ និងធ្វើឱ្យមុខងារបំបាត់កំហុសរបស់ Android សកម្ម។ លើសពីនេះ វាអាចលាក់រូបតំណាងកម្មវិធីរបស់វា បង្កើនភាពធន់របស់វាចំពោះការលុបចេញពីឧបករណ៍។

គុណលក្ខណៈគួរឱ្យកត់សម្គាល់របស់ SoumniBot គឺជាសមត្ថភាពរបស់វាក្នុងការស្កេនឧបករណ៍ផ្ទុកខាងក្រៅសម្រាប់ឯកសារ .key និង .der ដែលមានផ្លូវដែលនាំទៅដល់ '/NPKI/yessign' ដែលត្រូវនឹងសេវាវិញ្ញាបនបត្រហត្ថលេខាឌីជីថលដែលផ្តល់ដោយកូរ៉េខាងត្បូងសម្រាប់រដ្ឋាភិបាល (GPKI) ធនាគារ និងគោលបំណងនៃការផ្លាស់ប្តូរភាគហ៊ុនអនឡាញ (NPKI) ។

ឯកសារទាំងនេះតំណាងឱ្យវិញ្ញាបនបត្រឌីជីថលដែលចេញដោយធនាគារកូរ៉េដល់អតិថិជនរបស់ពួកគេ ប្រើប្រាស់សម្រាប់ការចូលទៅក្នុងវេទិកាធនាគារតាមអ៊ីនធឺណិត ឬផ្ទៀងផ្ទាត់ប្រតិបត្តិការធនាគារ។ បច្ចេកទេសនេះគឺកម្រមានណាស់ក្នុងចំណោមមេរោគធនាគារ Android ។