មេរោគ Albiriox MaaS

ការគំរាមគំហែងលើប្រព័ន្ធប្រតិបត្តិការ Android ដែលទើបលេចចេញ ត្រូវបានគេស្គាល់ថា Albiriox តំណាងឱ្យការវិវត្តន៍ចុងក្រោយបំផុតនៅក្នុងប្រតិបត្តិការក្លែងបន្លំនៅលើឧបករណ៍។ ត្រូវបានផ្សព្វផ្សាយក្រោមគំរូសេវា malware-as-a-service វាផ្តល់នូវកញ្ចប់ឧបករណ៍យ៉ាងទូលំទូលាយសម្រាប់ការបញ្ជាពីចម្ងាយ ការរំលោភបំពានដោយស្វ័យប្រវត្តិ និងឧបាយកលលួចលាក់នៃឧបករណ៍របស់ជនរងគ្រោះ។

ការគំរាមកំហែងផ្នែកពាណិជ្ជកម្មបង្កើតឡើងសម្រាប់ការក្លែងបន្លំ

Albiriox ត្រូវបានទីផ្សារជាការផ្តល់ជូន MaaS ដែលមានលក្ខណៈពិសេសពេញលេញ ដែលត្រូវបានរចនាឡើងដើម្បីគាំទ្រការក្លែងបន្លំនៅលើឧបករណ៍ (ODF) អន្តរកម្មឧបករណ៍តាមពេលវេលាជាក់ស្តែង និងការរៀបចំអេក្រង់ដោយគ្មានថ្នេរ។ សកម្មភាពដំបូងបង្ហាញថា ប្រតិបត្តិករដំបូងបានអនុវត្តដំណាក់កាលជ្រើសរើសបុគ្គលិកដែលមានកម្រិតនៅចុងខែកញ្ញា ឆ្នាំ 2025 មុនពេលផ្លាស់ប្តូរទៅការផ្សព្វផ្សាយពាណិជ្ជកម្មកាន់តែទូលំទូលាយ។ សូចនាករដែលភ្ជាប់ទៅនឹងវេទិកាពិភាក្សា ការប្រើប្រាស់ភាសា និងការគាំទ្រផ្នែកហេដ្ឋារចនាសម្ព័ន្ធ ឆ្ពោះទៅរកឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតដែលនិយាយភាសារុស្សីដែលដឹកនាំគម្រោងនេះ។

អ្នកអភិវឌ្ឍន៍ក៏ផ្តល់នូវអ្នកបង្កើតផ្ទាល់ខ្លួនដែលរាយការណ៍ថារួមបញ្ចូលជាមួយសេវាកម្មគ្រីប Golden Crypt ដែលអាចឱ្យអតិថិជនគេចពីឧបករណ៍កំចាត់មេរោគ និងការការពារសុវត្ថិភាពចល័ត។

ការកំណត់គោលដៅកម្មវិធីទូលំទូលាយ

មេរោគបង្កប់នូវបញ្ជី hard-coded យ៉ាងទូលំទូលាយនៃកម្មវិធីគោលដៅជាង 400 ។ ទាំងនេះមានវិសាលភាពទូលំទូលាយនៃប្រភេទរសើប រួមទាំងធនាគារ ហិរញ្ញវត្ថុ ការផ្លាស់ប្តូររូបិយប័ណ្ណគ្រីបតូ ដំណើរការទូទាត់ កាបូបឌីជីថល និងវេទិកាពាណិជ្ជកម្មតាមអ៊ីនធឺណិត។ វិធីសាស្រ្តកំណត់គោលដៅទូលំទូលាយនេះ ស្របតាមគោលដៅរបស់ខ្លួនក្នុងការចាប់យកព័ត៌មានសម្ងាត់ ចាប់ផ្តើមប្រតិបត្តិការក្លែងបន្លំ និងរក្សាការចូលប្រើជាសម្ងាត់ចំពោះកម្មវិធីហិរញ្ញវត្ថុ។

ការដាក់ពង្រាយសម្ងាត់តាមរយៈវិស្វកម្មសង្គម

ការចែកចាយពឹងផ្អែកខ្លាំងលើឧបករណ៍បោកបញ្ឆោតដែលត្រូវបានរចនាឡើងដើម្បីបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យដំឡើងឧបករណ៍ទម្លាក់ក្លែងក្លាយ។ អ្នកវាយប្រហារបានផ្គូផ្គងប្រធានបទវិស្វកម្មសង្គមជាមួយនឹងបច្ចេកទេសវេចខ្ចប់ និងការភ័ន្តច្រឡំទៅនឹងឧបករណ៍វិភាគឋិតិវន្ត។ យុទ្ធនាការមួយផ្តោតលើអ្នកប្រើប្រាស់អូទ្រីសបានប្រើប្រាស់សារ SMS ជាភាសាអាឡឺម៉ង់ និង URL ខ្លីដែលនាំទៅដល់ទំព័រ Google Play Store ក្លែងក្លាយសម្រាប់កម្មវិធីដូចជា 'PENNY Angebote & Coupons' ។

ជនរងគ្រោះដែលបានជ្រើសរើសប៊ូតុង 'ដំឡើង' ក្លែងក្លាយបានទាញយក APK dropper ដោយមិនដឹងខ្លួន។ បន្ទាប់ពីបើកដំណើរការ កម្មវិធីនេះបានស្នើសុំការអនុញ្ញាតក្នុងការដំឡើងកម្មវិធីបន្ថែម ដោយធ្វើពុតជាចាប់ផ្តើមការអាប់ដេតតាមទម្លាប់។ សកម្មភាពនេះបានបង្កឱ្យមានការដាក់ពង្រាយបន្ទុកសំខាន់ Albiriox ។

យុទ្ធនាការដែលពាក់ព័ន្ធបានបញ្ជូនជនរងគ្រោះដែលមានសក្តានុពលទៅកាន់គេហទំព័រក្លែងបន្លំដែលមានប្រធានបទ PENNY ជាកន្លែងដែលពួកគេត្រូវបានជម្រុញឱ្យផ្តល់លេខទូរស័ព្ទរបស់ពួកគេដើម្បីទទួលបានតំណភ្ជាប់ទាញយក WhatsApp ។ មានតែលេខអូទ្រីសប៉ុណ្ណោះដែលត្រូវបានទទួលយក ហើយការបញ្ជូនទាំងអស់ត្រូវបានផ្ញើទៅកាន់ Telegram bot ដែលគ្រប់គ្រងដោយប្រតិបត្តិករ។

ការបញ្ជាពីចម្ងាយ និងប្រតិបត្តិការសម្ងាត់

នៅពេលដែលសកម្ម Albiriox បង្កើតការប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control របស់វាតាមរយៈរន្ធ TCP ដែលមិនបានអ៊ិនគ្រីប។ នេះអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងរុញពាក្យបញ្ជាដែលប្រើសម្រាប់អន្តរកម្មពីចម្ងាយពេញលេញ។ សមត្ថភាពសំខាន់ៗរួមមាន:

• ការគ្រប់គ្រងឧបករណ៍ដែលមានមូលដ្ឋានលើ VNC គាំទ្រដោយម៉ូឌុលចូលប្រើពីចម្ងាយបន្ថែម
• ការទាញយកទិន្នន័យរសើបតាមតម្រូវការ
• ការ​ដាក់​ឱ្យ​ប្រើ​អេក្រង់​ខ្មៅ ឬ​ទទេ​ដើម្បី​រារាំង​សកម្មភាព​ព្យាបាទ
• ការលៃតម្រូវកម្រិតសំឡេងពីចម្ងាយដើម្បីរក្សាការបំបាំងកាយប្រតិបត្តិការ

វ៉ារ្យ៉ង់មួយប្រើប្រាស់សេវាកម្មភាពងាយស្រួលរបស់ Android ដើម្បីបង្ហាញធាតុចំណុចប្រទាក់ទាំងអស់ទៅកាន់ប្រតិបត្តិករ។ បច្ចេកទេសនេះត្រូវបានរចនាឡើងយ៉ាងច្បាស់លាស់ដើម្បីចៀសវាងការរឹតបន្តឹងនៃមុខងារ FLAG_SECURE របស់ Android ដែលការពារការថតអេក្រង់ និងការថតអេក្រង់នៅក្នុងកម្មវិធីហិរញ្ញវត្ថុជាច្រើន។

ឆ្លងកាត់ការការពារចំណុចប្រទាក់សម្រាប់ការក្លែងបន្លំ

យន្តការស្ទ្រីមដែលជំរុញដោយភាពងាយស្រួលផ្តល់ឱ្យអ្នកវាយប្រហារនូវតំណាងកម្រិតថ្នាំងនៃចំណុចប្រទាក់ឧបករណ៍។ ដោយសារតែវាជៀសវាងបច្ចេកទេសថតអេក្រង់បែបប្រពៃណី វាមិនបង្កឱ្យមានការការពារដែលភ្ជាប់មកជាមួយដែលប្រើប្រាស់ដោយកម្មវិធីធនាគារ និងរូបិយប័ណ្ណគ្រីបតូនោះទេ។ ជាលទ្ធផល អ្នកវាយប្រហារទទួលបានភាពមើលឃើញជាប់លាប់ និងគ្មានដែនកំណត់នៃអេក្រង់រសើប។

ការវាយប្រហារជាន់លើ និងការប្រមូលផលអត្តសញ្ញាណ

ស្របជាមួយនឹង trojans ធនាគារ Android ផ្សេងទៀត Albiriox ប្រើការវាយប្រហារត្រួតគ្នា ដែលភ្ជាប់ទៅនឹងបញ្ជីកម្មវិធីគោលដៅដែលមានកូដរឹង។ ការត្រួតលើគ្នាទាំងនេះលេចឡើងជាបន្ទះចូលស្របច្បាប់ ឬប្រអប់ប្រព័ន្ធ ដែលអនុញ្ញាតឱ្យមានការលួចព័ត៌មានសម្ងាត់ប្រកបដោយប្រសិទ្ធភាព។ លើសពីនេះ មេរោគនេះបម្រើអេក្រង់ដែលបំភាន់ ដូចជាការជម្រុញការធ្វើបច្ចុប្បន្នភាពក្លែងក្លាយ ឬការបង្ហាញពណ៌ខ្មៅទាំងស្រុង ដើម្បីលាក់សកម្មភាពរបស់វា ខណៈពេលដែលប្រតិបត្តិការក្លែងបន្លំដំណើរការនៅផ្ទៃខាងក្រោយ។

វេទិកា ODF ដែលបំពាក់យ៉ាងពេញលេញ

Albiriox បង្ហាញពីលក្ខណៈសម្គាល់ទាំងអស់នៃមេរោគក្លែងបន្លំនៅលើឧបករណ៍កម្រិតខ្ពស់។ ការបញ្ចូលគ្នារបស់វានៃការគ្រប់គ្រងពីចម្ងាយដែលមានមូលដ្ឋានលើ VNC លំហូរការងារស្វ័យប្រវត្តិកម្មដែលជំរុញដោយភាពងាយស្រួល ការត្រួតលើគ្នាដែលមានគោលដៅ និងបច្ចេកទេសប្រមូលផលថាមវន្តអនុញ្ញាតឱ្យអ្នកវាយប្រហារជៀសផុតពីការត្រួតពិនិត្យការផ្ទៀងផ្ទាត់ និងធ្វើឱ្យហួសពីយន្តការស្វែងរកការក្លែងបន្លំធម្មតា។ តាមរយៈការដំណើរការដោយផ្ទាល់នៅក្នុងវគ្គស្របច្បាប់របស់ជនរងគ្រោះ មេរោគនេះផ្តល់ឱ្យប្រតិបត្តិកររបស់ខ្លួននូវកម្រិតខ្ពស់ពិសេសនៃការគ្រប់គ្រង និងឱកាសដ៏សំខាន់ស្មើគ្នាសម្រាប់ការរំលោភបំពាន។