SimBad ជាយុទ្ធនាការ Adware ដ៏ធំមួយដែលគេរកឃើញនៅក្នុង Google Playstore មានកម្មវិធីព្យាបាទច្រើនជាង ២០០ ដែលទទួលបានការទាញយកជិត១៥០ លានដង។ ភាគច្រើននៃកម្មវិធីដែលមានគ្រោះថ្នាក់ជាកម្មវិធីប្រភេទហ្គេមក្លែងក្លាយ ហើយកម្មវិធីទាំង នេះបង្កើតការផ្សាយពាណិជ្ជកម្មរំខានយ៉ាងខ្លាំង និងបង្ហាញនៅខាងក្រៅកម្មវិធី​ដែលធ្វើឱ្យអ្នក​ប្រើប្រាស់ពិបាកក្នុងការតំឡើងនៅពេលវាត្រូវគេដំឡើង។ SDK ព្យាបាទ (ឧបករណ៍អភិវឌ្ឍន៍​កម្មវិធី) “RXDrioder” ដើរតួនាទីយ៉ាងសំខាន់នៅក្នុងយុទ្ធនាការនេះ​ដោយ​វាត្រូវអ្នកវាយប្រហារ​ប្រើដើម្បីបង្ហាញចំនួនផ្សាយពាណិជ្ជកម្មខ្ពស់ដើម្បីបង្កើតប្រាក់ឮចំណូល​កាន់តែច្រើន។

យុទ្ធនាការ AdBird មានឈ្មោះថា SimBad មិនផ្តោតគោលដៅលើប្រទេសណាមួយទេ ហើយ SDK នេះផ្តល់ដោយ &#039addroider [.] com&#039 ដែលក្លែងបន្លំអ្នកអភិវឌ្ឍន៍ដើម្បីប្រើប្រាស់វាសម្រាប់ ការអភិវឌ្ឍកម្មវិធី។ យោងទៅតាមការស្រាវជ្រាវរបស់អ្នកត្រួតពិនិត្យ កម្មវិធីនេះមានសកម្ម ភាពព្យាបាទជាច្រើនរួមមាន:

1.ការបង្ហាញពាណិជ្ជកម្មនៅខាងក្រៅកម្មវិធី។ឧទាហរណ៍នៅពេលអ្នកប្រើប្រាស់ដោះសោទូរស័ព្ទរបស់ពួកគេឬប្រើកម្មវិធីផ្សេងទៀត។

2. បើក Google Play ឬ Apps Store និងបញ្ជូនទៅកម្មវិធីពិសេសផ្សេងទៀត​ដូច្នេះអ្នក​អភិវឌ្ឍន៍​អាចទទួលបានប្រាក់ចំណេញពីការដំឡើងបន្ថែម។

3. លាក់រូបតំណាងរបស់វាពីអ្នកបើកដើម្បីការពារការលុបចោល។

4. បើកកម្មវិធីអ៊ីនធឺណិតជាមួយតំណដែលផ្តល់ដោយអ្នកអភិវឌ្ឍន៍កម្មវិធី។

5. ទាញយកឯកសារ APK ហើយសុំឱ្យអ្នកប្រើដំឡើងវា។

6. ស្វែងរកពាក្យដែលផ្តល់ដោយកម្មវិធីក្នុង Google Play ។

ដំណើរការឆ្លងSimBad Adware

នៅពេលដែលកម្មវិធី Adware ត្រូវគេដាក់បញ្ចូលទៅក្នុងទូរស័ព្ទដៃរបស់ជនរងគ្រោះ SimBad ចុះឈ្មោះខ្លួនវាដើម្បីធ្វើឱ្យប្រាកដថាកម្មវិធីដែលដំឡើងរួចនៅតែដំណើរការលើឧបករណ៍របស់ជនរងដែលគ្រោះចល័តគ្រប់ពេលពួកគេចាប់ផ្ដើម ឬដោះសោទូរស័ព្ទ។ ក្រោយមក SimBad តភ្ជាប់ទៅម៉ាស៊ីនមេ C & C ដើម្បីទទួលពាក្យបញ្ជាពីអ្នកវាយប្រហារ​ដើម្បីអនុវត្ត​ប្រតិបត្តិការដែលមានគ្រោះថ្នាក់ជាច្រើនដូចជាយករូបតំណាងធ្វើឱ្យអ្នកប្រើពិបាក និងបិទពាណិជ្ជកម្មជា “រូបភាព”។ យោងតាម ​​Checkpoint “SimBad” មានសមត្ថភាព​អាចបែង​ចែកជាបីក្រុម – បង្ហាញពត៌មានផ្សព្វផ្សាយ, ធ្វើការលួចបន្លំ ​និងបង្ករការប៉ះពាល់ដល់កម្មវិធី ផ្សេងទៀត។

ជាមួយនឹងសមត្ថភាពដើម្បីបើក URL ដែលផ្តល់ក្នុងកម្មវិធីរុករកមួយ មេរោគនៅពីក្រោយ &#039SimBad&#039 អាចបង្កើតទំព័រឆបោកសម្រាប់វេទិកាជាច្រើន ហើយអ្នក បើកពួកវាក្នុងកម្មវិធីរុករក ដូច្នេះវាអាចដំណើរការការវាយប្រហារលើអ្នកប្រើ។ “ម៉ាស៊ីនបម្រើ C2 គឺ &#039addroider [. ] com&#039 ត្រូវគេប្រើដើម្បីរចនាផ្នែកខាងក្រោយរបស់រចនាសម្ព័ន្ធដែលជា គំរូមួយសម្រាប់ផ្តល់កម្មវិធីបណ្ដាញនិងអ្នកអភិវឌ្ឍន៍កម្មវិធីទូរស័ព្ទជាមួយវិធីសាស្ត្រដើម្បីភ្ជាប់កម្មវិធីរបស់ពួកគេទៅផ្នែកខាងក្រោយការប្រើ cloud  និង APIs ដែលបង្ហាញដោយកម្ម វិធីនៅខាងក្រោយ។ ដែនម៉ាស៊ីនបម្រើ C2 នេះត្រូវគេចុះឈ្មោះតាមរយៈ GoDaddy ហើយបច្ចុប្បន្ននេះដែននេះផុតកំណត់កាលពី ៧ ខែមុននេះបើយោងតាម ​​RiskIQ&#039s PassiveTotal ៕