មេរោគទូរស័ព្ទចល័ត WyrmSpy

តារាសម្តែងរដ្ឋដែលគាំទ្រដោយប្រទេសចិនដ៏ល្បីឈ្មោះ APT41 ថ្មីៗនេះត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការរកឃើញពីរប្រភេទដែលមិនមានឯកសារពីមុននៃ spyware ប្រព័ន្ធប្រតិបត្តិការ Android ដែលត្រូវបានគេស្គាល់ថា WyrmSpy និង DragonEgg ។ APT41 មានភាពល្បីល្បាញដោយសារជំនាញរបស់ខ្លួនក្នុងការទាញយកកម្មវិធីដែលប្រឈមមុខនឹងគេហទំព័រ និងការជ្រៀតចូលឧបករណ៍ចុងបែបប្រពៃណី។

តាមរយៈការពង្រីកឃ្លាំងផ្ទុកមេរោគរបស់ខ្លួនដើម្បីរួមបញ្ចូលឧបករណ៍ចល័ត APT 41 បង្ហាញយ៉ាងច្បាស់ពីសារៈសំខាន់នៃចំណុចបញ្ចប់នៃទូរស័ព្ទចល័តដែលជាគោលដៅតម្លៃខ្ពស់ដែលអាស្រ័យទៅលើទិន្នន័យសាជីវកម្ម និងផ្ទាល់ខ្លួនដែលចង់បាន។ នេះបង្ហាញពីសារៈសំខាន់កាន់តែខ្លាំងឡើងនៃការធានាឧបករណ៍ចល័តប្រឆាំងនឹងការគំរាមកំហែងដ៏ទំនើបដែលបង្កឡើងដោយតួអង្គគំរាមកំហែងដែលបានបង្កើតឡើងដូចជា APT 41។

WyrmSpy អាចត្រូវបានប្រើប្រាស់ដោយ Cybercriminals អស់ជាច្រើនឆ្នាំ

សម្លៀកបំពាក់ឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត APT41 ដែលត្រូវបានទទួលស្គាល់ផងដែរដោយឈ្មោះផ្សេងៗដូចជា Axiom, Blackfly, Brass Typhoon (អតីត Barium), Bronze Atlas, HOODOO, Wicked Panda និង Winnti បានដំណើរការតាំងពីយ៉ាងហោចណាស់ឆ្នាំ 2007 ដោយបង្ហាញវត្តមានជាប់លាប់នៅក្នុងទិដ្ឋភាពអ៊ីនធឺណិត។ តួអង្គគម្រាមកំហែងដ៏ទំនើបនេះ បាននិងកំពុងកំណត់គោលដៅលើឧស្សាហកម្មផ្សេងៗ ក្នុងគោលបំណងធ្វើកម្មសិទ្ធិបញ្ញា និងព័ត៌មានរសើប។

នាពេលថ្មីៗនេះ APT41 បានទទួលខុសត្រូវចំពោះការបើកការវាយប្រហារដោយប្រើប្រាស់ឧបករណ៍ក្រុមពណ៌ក្រហមបើកចំហរហៅថា Google Command and Control (GC2)។ ការវាយប្រហារទាំងនេះត្រូវបានផ្តោតជាពិសេសទៅលើប្រព័ន្ធផ្សព្វផ្សាយ និងវេទិកាការងារនៅតៃវ៉ាន់ និងអ៊ីតាលី ដោយបង្ហាញពីយុទ្ធសាស្ត្រ និងគោលដៅដែលមិនធ្លាប់មានរបស់សមូហភាព។

ចំពោះយុទ្ធនាការតាមដានឧបករណ៍ចល័តរបស់ពួកគេ វិធីសាស្រ្តពិតប្រាកដនៃការឈ្លានពានដំបូងនៅតែមិនបង្ហាញ ប៉ុន្តែមានការសង្ស័យនៃការប្រើប្រាស់បច្ចេកទេសវិស្វកម្មសង្គម។ WyrmSpy ត្រូវបានរកឃើញដំបូងនៅដើមឆ្នាំ 2017 ដែលបង្ហាញពីសកម្មភាពអូសបន្លាយ និងបន្តរបស់ក្រុមនៅក្នុងអាណាចក្រចល័ត។ ក្រោយមក DragonEgg ត្រូវបានកំណត់អត្តសញ្ញាណនៅដើមឆ្នាំ 2021 ហើយគំរូថ្មីនៃមេរោគនេះត្រូវបានគេសង្កេតឃើញនាពេលថ្មីៗនេះ ដូចជាខែមេសា ឆ្នាំ 2023 ដោយសង្កត់ធ្ងន់ទៅលើការគំរាមកំហែងដែលកំពុងកើតមានដោយ APT41។

សមត្ថភាពគំរាមកំហែងត្រូវបានរកឃើញនៅក្នុងមេរោគ WyrmSpy Android

WyrmSpy ប្រើល្បិចបោកបញ្ឆោតដោយបន្លំខ្លួនជាកម្មវិធីប្រព័ន្ធលំនាំដើមដែលទទួលខុសត្រូវក្នុងការបង្ហាញការជូនដំណឹងរបស់អ្នកប្រើប្រាស់។ នៅក្នុងការប្រែប្រួលនៅពេលក្រោយ មេរោគត្រូវបានបង្កប់ទៅក្នុងកម្មវិធីដែលដាក់ជាខ្លឹមសារវីដេអូសម្រាប់មនុស្សពេញវ័យ Baidu Waimai និង Adobe Flash។ គួរកត់សម្គាល់ថាមិនមានភស្តុតាងណាមួយដែលបង្ហាញថាកម្មវិធីបញ្ឆោតទាំងឡាយទាំងនេះត្រូវបានចែកចាយតាមរយៈ Google Play Store ផ្លូវការនោះទេ។ ចំនួនពិតប្រាកដនៃជនរងគ្រោះដែលជាគោលដៅដោយ WyrmSpy នៅតែមិនស្គាល់។

ការតភ្ជាប់រវាង WyrmSpy និង APT41 ក្លាយជាជាក់ស្តែងតាមរយៈការប្រើប្រាស់ម៉ាស៊ីនមេ Command-and-Control (C2) ជាមួយនឹងអាសយដ្ឋាន IP 121[.]42[.]149[.]52។ អាសយដ្ឋាន IP នេះត្រូវនឹងដែន 'vpn2.umisen[.]com' ដែលត្រូវបានភ្ជាប់ពីមុនជាមួយហេដ្ឋារចនាសម្ព័ន្ធនៃក្រុម APT41។

នៅពេលដំឡើងដោយជោគជ័យ WyrmSpy ស្នើសុំការអនុញ្ញាតរំខាន ដែលអនុញ្ញាតឱ្យមានការគំរាមកំហែងដើម្បីអនុវត្តសកម្មភាពប្រមូលទិន្នន័យ និងជំរិតយកទិន្នន័យដ៏ទំនើបនៅលើឧបករណ៍ Android ដែលត្រូវបានសម្របសម្រួល។ មេរោគនេះមានសមត្ថភាពប្រមូលព័ត៌មានអ្នកប្រើប្រាស់ដ៏រសើប រួមទាំងរូបថត ទិន្នន័យទីតាំង សារ SMS និងការថតសំឡេង។

WyrmSpy ក៏​បាន​បង្ហាញ​ពី​ការ​សម្រប​ខ្លួន​របស់​ខ្លួន​ដោយ​ប្រើ​ម៉ូឌុល​ដែល​ត្រូវ​បាន​ទាញ​យក​ពី​ម៉ាស៊ីន​បម្រើ C2 ។ វិធីសាស្រ្តនេះអនុញ្ញាតឱ្យមេរោគបង្កើនសមត្ថភាពប្រមូលទិន្នន័យរបស់វា ខណៈពេលដែលគេចពីការរកឃើញ។

លើសពីនេះ WyrmSpy បង្ហាញមុខងារកម្រិតខ្ពស់ ដោយសារវាអាចបិទ Security-Enhanced Linux (SELinux) ដែលជាមុខងារសុវត្ថិភាពនៅក្នុងប្រព័ន្ធប្រតិបត្តិការ Android ។ លើស​ពី​នេះ​ទៅ​ទៀត វា​ទាញ​យក​ឧបករណ៍​ឫសគល់​ដូច​ជា KingRoot11 ដើម្បី​ទទួល​បាន​សិទ្ធិ​ខ្ពស់​លើ​ឧបករណ៍​ចល័ត​ដែល​ត្រូវ​បាន​គេ​សម្របសម្រួល។