មេរោគ Wpeeper Mobile
អ្នកវិភាគសុវត្ថិភាពបានរកឃើញមេរោគប្រភេទថ្មីដែលមានគោលបំណងទៅលើឧបករណ៍ Android ។ មេរោគនេះមានឈ្មោះ Wpeeper ពីមុនមិនស្គាល់ ហើយប្រើប្រាស់គេហទំព័រ WordPress ដែលត្រូវបានសម្របសម្រួល ដើម្បីបិទបាំងការភ្ជាប់ម៉ាស៊ីនមេ Command-and-Control (C2) ដែលធ្វើឱ្យវាពិបាកក្នុងការរកឃើញ។ Wpeeper ដំណើរការជាប្រព័ន្ធគោលពីរ ELF និងប្រើប្រាស់ HTTPS សម្រាប់ការទំនាក់ទំនងប្រកបដោយសុវត្ថិភាពជាមួយម៉ាស៊ីនមេ C2 របស់វា។
Wpeeper មានមុខងារជា Trojan backdoor ស្តង់ដារសម្រាប់ Android ដោយបើកដំណើរការសកម្មភាពផ្សេងៗ រួមទាំងការប្រមូលទិន្នន័យឧបករណ៍រសើប ការគ្រប់គ្រងឯកសារ និងថត ការផ្ទេរឯកសារ (ការបង្ហោះ និងការទាញយក) និងការប្រតិបត្តិពាក្យបញ្ជាពីចម្ងាយ។
តារាងមាតិកា
មេរោគ Wpeeper ឆ្លងឧបករណ៍តាមរយៈកម្មវិធី Android ដែលត្រូវបានសម្របសម្រួល
ប្រព័ន្ធគោលពីរ ELF ដែលត្រូវបានសម្របសម្រួលត្រូវបានលាក់នៅក្នុងកំណែដែលបានកែប្រែនៃកម្មវិធី UPtodown App Store សម្រាប់ Android (ឈ្មោះកញ្ចប់ 'com.uptodown') ជាមួយនឹងឯកសារ APK បម្រើជាក្រុមហ៊ុនដឹកជញ្ជូនសម្រាប់ backdoor ដែលត្រូវបានរចនាឡើងដើម្បីជៀសវាងការរកឃើញ។
ជម្រើសនៃកម្មវិធី Uptodown App Store សម្រាប់យុទ្ធនាការនេះបង្ហាញពីកិច្ចខិតខំប្រឹងប្រែងដើម្បីក្លែងបន្លំទីផ្សារកម្មវិធីភាគីទីបីស្របច្បាប់ និងបញ្ឆោតអ្នកប្រើប្រាស់ដែលមិនសង្ស័យឱ្យដំឡើងវា។ យោងតាមស្ថិតិពី Android-apk.org កំណែដែលត្រូវបានសម្របសម្រួលនៃកម្មវិធី (5.92) ត្រូវបានទាញយក 2,609 ដងរហូតមកដល់ពេលនេះ។
មេរោគ Wpeeper ប្រើប្រាស់ស្ថាបត្យកម្ម Command-and-Control ដ៏ស្មុគស្មាញ
Wpeeper ប្រើប្រាស់ស្ថាបត្យកម្ម C2 ដ៏ស្មុគ្រស្មាញ ដែលពាក់ព័ន្ធនឹងគេហទំព័រ WordPress ដែលឆ្លងមេរោគ ដើរតួជាអន្តរការី ដើម្បីបំភ័ន្តម៉ាស៊ីនមេ C2 ពិតប្រាកដរបស់វា។ ម៉ាស៊ីនមេ C2 រហូតដល់ទៅ 45 ត្រូវបានគេកំណត់អត្តសញ្ញាណនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធនេះ ដោយប្រាំបួននៃពួកវាត្រូវបានបញ្ចូលកូដរឹងទៅក្នុងគំរូដើម្បីធ្វើបច្ចុប្បន្នភាពបញ្ជី C2 យ៉ាងសកម្ម។
ម៉ាស៊ីនមេដែលមានកូដរឹងទាំងនេះមិនមែនជា C2s ពិតប្រាកដទេប៉ុន្តែអ្នកបញ្ជូនបន្ត C2 — គោលបំណងរបស់ពួកគេគឺដើម្បីបញ្ជូនសំណើរបស់ bot ទៅកាន់ C2 ពិតប្រាកដដែលមានគោលបំណងការពារ C2 ពិតប្រាកដពីការរកឃើញ។ នេះក៏បានលើកឡើងពីការព្រួយបារម្ភដែលអ្នកវាយប្រហារអាចគ្រប់គ្រងដោយផ្ទាល់នូវម៉ាស៊ីនមេ hardcode មួយចំនួនផងដែរ ព្រោះវាមានហានិភ័យនៃការបាត់បង់ការចូលទៅកាន់ botnet ប្រសិនបើអ្នកគ្រប់គ្រងគេហទំព័រ WordPress ដឹងពីការសម្របសម្រួល និងចាត់វិធានការកែតម្រូវ។
អ្នកវាយប្រហារអាចធ្វើសកម្មភាពឈ្លានពានផ្សេងៗលើឧបករណ៍ដែលមានមេរោគ
ពាក្យបញ្ជាដែលបានទទួលពីម៉ាស៊ីនមេ C2 អនុញ្ញាតឱ្យមេរោគប្រមូលព័ត៌មានលម្អិតឧបករណ៍ និងឯកសារ រាយបញ្ជីកម្មវិធីដែលបានដំឡើង អាប់ដេតម៉ាស៊ីនមេ C2 ទាញយក និងដំណើរការបន្ទុកបន្ថែមពីម៉ាស៊ីនមេ C2 ឬ URL ដែលបានបញ្ជាក់ និងដកចេញដោយខ្លួនឯង។
គោលបំណង និងវិសាលភាពពេញលេញនៃយុទ្ធនាការនាពេលនេះ មិនមានភាពច្បាស់លាស់ទេ។ នៅតែមានការសង្ស័យថា ល្បិចបោកបញ្ឆោតនេះ ប្រហែលជាត្រូវបានប្រើប្រាស់ ដើម្បីបង្កើនតួលេខដំឡើង និងបង្ហាញសមត្ថភាពរបស់មេរោគជាបន្តបន្ទាប់។
ដើម្បីកាត់បន្ថយគ្រោះថ្នាក់ដែលបង្កឡើងដោយមេរោគបែបនេះ វាមានសារៈសំខាន់ណាស់ក្នុងការដំឡើងកម្មវិធីទាំងស្រុងពីប្រភពល្បីឈ្មោះ ហើយពិនិត្យមើលការវាយតម្លៃ និងការអនុញ្ញាតកម្មវិធីដោយប្រុងប្រយ័ត្នមុនពេលទាញយក។
