ព័ត៌មាន

ការវាយប្រហារមេរោគ ViceLeaker Malware នៅលើស្មាតហ្វូន Android ជាមួយនឹង Backdoor អាចធ្វើការលួចទៅលើកាមេរ៉ា និងការថតសំឡេង

Saturday, ទី3 August, ឆ្នាំ2019 22:08 pm 0

ក្រុមអ្នកស្រាវជ្រាវរកឃើញយុទ្ធនាការមេរោគថ្មីមួយដែលមានឈ្មោះថា ViceLeaker ដែលផ្តោតជាពិសេសទៅលើអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android ដែលមានសមត្ថភាព Backdoor ដ៏ស្មុគ្រស្មាញលើការគ្រប់គ្រងកាមេរ៉ា លុបឯកសារ ថតសំឡេងនិងអ្វីៗជាច្រើនទៀត។គំរូមេរោគមួយចំនួនដែលត្រូវរកឃើញដោយអ្នកស្រាវជ្រាវ Kaspersky ត្រូវកែប្រែកំណែថ្មីនៃកម្មវិធីប្រភពបើកចំហ Jabber/XMPP ដែលមានឈ្មោះថា “Conversations” ដែលជាកំណែស្របច្បាប់នៃកម្មវិធី Android ដែលមាននៅក្នុង Google Play ។

អ្នកសំដែងគំរាមកំហែងប្រើបច្ចេកទេសចាក់ Smali ដើម្បីប្រើកម្មវិធីស្របច្បាប់ Backdoor ហើយបច្ចេកទេសនេះត្រូវប្រើញឹកញាប់ជាងមុនដោយអ្នកវាយប្រហារដើម្បីផ្តាច់កូដនៃកម្មវិធីស្របច្បាប់ដើមដោយមានជំនួយពីឧបករណ៍ Baksmali នៅពេលពួកគេបន្ថែមកូដព្យាបាទ បន្ទាប់មកពួកគេប្រមូលវាជាមួយ Smali ។ក្នុងដំណាក់កាលវិភាគ APK អ្នកស្រាវជ្រាវរកឃើញថាមេរោគមានមុខងារមួយចំនួននៃមុខងារ spyware ទូទៅហើយបន្ថែមទៀតវាមានសមត្ថភាពផ្ទុកឡើង ទាញយក លុបឯកសារ គ្រប់គ្រងកាមេរ៉ានិងថតសំលេងជុំវិញ។

គំរូនៃការសន្ទនាដែលកែប្រែ

សំណាកដែលរកឃើញថ្មីៗដែលត្រូវកែសំរួលកំណែនៃការសន្ទនានិងលេខកូដសំរាប់ចែករំលេកកម្មវិធីជាមួយមេរោគ ViceLeaker ដែលមានតួអក្សរស្រដៀងគ្នា។យោងតាមការស្រាវជ្រាវរបស់ Kaspersky បង្ហាញថា គំរូការសន្ទនា Conversations ដែលកែប្រែខុសគ្នាពីគំរូដើមនៅក្នុងវិធីសាស្ត្រ getKnownHosts ដែលត្រូវកែប្រែដើម្បីជំនួសម៉ាស៊ីនមេ XMPP ជាមួយម៉ាស៊ីនមេ C២ របស់អ្នកវាយប្រហារ។

មានការកែប្រែជាច្រើនត្រូវអនុវត្តជាមួយកម្មវិធី ហើយអ្នកវាយប្រហារកំពុងប្រើ C២ ជាក់លាក់សម្រាប់ការប្រើប្រាស់កម្មវិធីនោះ។មេរោគប្រើ HTTP សម្រាប់ទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C២ សម្រាប់ដោះស្រាយពាក្យបញ្ជានិងកំណត់ទិន្នន័យ។លើសពីនេះ អ្នកស្រាវជ្រាវជឿថាអ្នកវាយប្រហារក៏ប្តូររូបតំណាងនិងឈ្មោះកញ្ចប់ដែលធ្វើត្រាប់តាមអ្នកនាំសារ Telegram ទៅជាការបន្ថែមលេខកូដហើយវាអាចជាវិធីមួយដែលអ្នកវាយប្រហារលាក់ប្រភពដើមរបស់ពួកគេ។

ទោះបីជាវាជាកំណែ backdoor នៃកម្មវិធី Conversations របស់វា វាគ្មានសកម្មភាពព្យាបាទណាមួយត្រូវរកឃើញ។ ប៉ុន្តែកំណែដែលកែប្រែនេះអាចត្រូវប្រើដោយអ្នកគំរាមកំហែងសម្រាប់ការទំនាក់ទំនងផ្ទៃក្នុងរបស់ពួកគេ។អ្នកវាយប្រហារប្រើ “១៨៥.៥១.២០១[.]១៣៣” ដែលជាអាស័យដ្ឋាន C២ សំរាប់កំណែ backdoor នៃកម្មវិធី Conversations ។អ្នកស្រាវជ្រាវដាក់ឈ្មោះប្រតិបត្ដិការនេះថាជា “ViceLeaker” ដោយសារតែខ្សែអក្សរនិងអថេរនៅក្នុងលេខកូដរបស់វា។ប្រតិបត្ដិការរបស់ ViceLeaker នៅតែបន្តដូចការស្រាវជ្រាវរបស់យើងដែរ។ អ្នកវាយប្រហារដកបណ្តាញទំនាក់ទំនងរបស់ពួកគេហើយពួកគេកំពុងស្វែងរកមធ្យោបាយដើម្បីប្រមូលផ្តុំឧបករណ៍របស់ពួកគេតាមរបៀបផ្សេង។

image

image

Tags: