ច្រកទ្វារខាងក្រោយរបស់ Keenadu
ច្រកចូលប្រព័ន្ធប្រតិបត្តិការ Android ដ៏ទំនើបមួយ ដែលគេស្គាល់ថា Keenadu ត្រូវបានកំណត់អត្តសញ្ញាណថាបានបង្កប់យ៉ាងជ្រៅនៅក្នុងកម្មវិធីបង្កប់ឧបករណ៍ ដែលអាចឱ្យមានការប្រមូលផលទិន្នន័យដោយស្ងៀមស្ងាត់ និងការគ្រប់គ្រងពីចម្ងាយនៃប្រព័ន្ធដែលឆ្លងមេរោគ។ អ្នកស្រាវជ្រាវសន្តិសុខបានរកឃើញការគំរាមកំហែងនៅក្នុងកម្មវិធីបង្កប់ដែលភ្ជាប់ទៅនឹងអ្នកលក់ច្រើន រួមទាំង Alldocube ដោយមានភស្តុតាងបង្ហាញថាការសម្របសម្រួលបានកើតឡើងក្នុងដំណាក់កាលបង្កើតកម្មវិធីបង្កប់។ Keenadu មានវត្តមាននៅក្នុងកម្មវិធីបង្កប់សម្រាប់ Alldocube iPlay 50 mini Pro យ៉ាងហោចណាស់ចាប់តាំងពីថ្ងៃទី 18 ខែសីហា ឆ្នាំ 2023។
នៅក្នុងករណីនីមួយៗដែលបានបញ្ជាក់ កូដព្យាបាទស្ថិតនៅក្នុងរូបភាពកម្មវិធីបង្កប់ថេប្លេត ដែលមានហត្ថលេខាឌីជីថលដែលមានសុពលភាព ដែលពង្រឹងលទ្ធភាពនៃការសម្របសម្រួលខ្សែសង្វាក់ផ្គត់ផ្គង់។ កញ្ចប់កម្មវិធីបង្កប់ដែលឆ្លងមេរោគមួយចំនួនត្រូវបានចែកចាយតាមរយៈការអាប់ដេតតាមអាកាស (OTA)។ នៅពេលដែលដំឡើងរួច ច្រកខាងក្រោយចាក់ខ្លួនវាចូលទៅក្នុងកន្លែងផ្ទុកនៃកម្មវិធីនីមួយៗនៅពេលចាប់ផ្តើម ដោយដំណើរការជាឧបករណ៍ផ្ទុកពហុដំណាក់កាលដែលផ្តល់ឱ្យអ្នកវាយប្រហារនូវការគ្រប់គ្រងពីចម្ងាយដោយគ្មានការរឹតត្បិតលើឧបករណ៍។
តេឡេមេទ្រីបង្ហាញថា អ្នកប្រើប្រាស់ចំនួន ១៣.៧១៥ នាក់នៅទូទាំងពិភពលោកបានជួបប្រទះនឹង Keenadu ឬម៉ូឌុលពាក់ព័ន្ធរបស់វា។ កំហាប់ខ្ពស់បំផុតនៃការឆ្លងត្រូវបានគេសង្កេតឃើញនៅក្នុងប្រទេសរុស្ស៊ី ជប៉ុន អាល្លឺម៉ង់ ប្រេស៊ីល និងហូឡង់។
តារាងមាតិកា
ការរៀបចំប្រព័ន្ធស៊ីជម្រៅ៖ ការកេងប្រវ័ញ្ចដំណើរការស្នូលរបស់ Android
Keenadu ត្រូវបានបង្ហាញជាសាធារណៈនៅចុងខែធ្នូ ឆ្នាំ២០២៥ ហើយត្រូវបានពិពណ៌នាថាជា Backdoor ដែលត្រូវបានបង្កប់នៅក្នុង libandroid_runtime.so ដែលជាបណ្ណាល័យចែករំលែកដ៏សំខាន់មួយដែលត្រូវបានផ្ទុកក្នុងអំឡុងពេលដំណើរការចាប់ផ្ដើមប្រព័ន្ធប្រតិបត្តិការ Android។ នៅពេលដែលសកម្ម មេរោគនឹងចាក់ខ្លួនវាចូលទៅក្នុងដំណើរការ Zygote ដែលជាឥរិយាបថដែលត្រូវបានគេសង្កេតឃើញពីមុននៅក្នុងមេរោគ Android Triada។
ទម្លាប់ព្យាបាទនេះត្រូវបានបង្កឡើងតាមរយៈមុខងារដែលបានបញ្ចូលទៅក្នុង libandroid_runtime.so។ ដំបូងវាផ្ទៀងផ្ទាត់ថាតើវាកំពុងប្រតិបត្តិនៅក្នុងកម្មវិធីប្រព័ន្ធដែលភ្ជាប់ជាមួយសេវាកម្ម Google ឬក្រុមហ៊ុនផ្តល់សេវាទូរស័ព្ទចល័តដូចជា Sprint និង T-Mobile ដែរឬទេ។ ប្រសិនបើដូច្នោះមែន ការប្រតិបត្តិត្រូវបានបញ្ឈប់។ កុងតាក់សម្លាប់ដែលភ្ជាប់មកជាមួយក៏បញ្ចប់មេរោគផងដែរ នៅពេលដែលឈ្មោះឯកសារជាក់លាក់ត្រូវបានរកឃើញនៅក្នុងថតប្រព័ន្ធ។
បន្ទាប់មក Backdoor ពិនិត្យមើលថាតើវាកំពុងដំណើរការនៅក្នុងដំណើរការ system_server ដែលមានសិទ្ធិឬអត់ ដែលគ្រប់គ្រងមុខងារប្រព័ន្ធស្នូល ហើយត្រូវបានបើកដំណើរការដោយ Zygote កំឡុងពេលចាប់ផ្ដើមប្រព័ន្ធ។ អាស្រ័យលើបរិស្ថាន មេរោគចាប់ផ្តើមសមាសធាតុមួយក្នុងចំណោមពីរ៖
- AKServer ដែលមានតក្កវិជ្ជាបញ្ជា និងត្រួតពិនិត្យ (C2) ស្នូល និងម៉ាស៊ីនប្រតិបត្តិ
- AKClient ដែលត្រូវបានចាក់ចូលទៅក្នុងកម្មវិធីនីមួយៗដែលបានបើកដំណើរការ ហើយដើរតួជាស្ពានទំនាក់ទំនងទៅកាន់ AKServer។
ស្ថាបត្យកម្មនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហារកែសម្រួលបន្ទុកទិន្នន័យដែលមានគំនិតអាក្រក់ទៅតាមកម្មវិធីជាក់លាក់។ សមាសភាគម៉ាស៊ីនមេអាចផ្តល់ ឬដកហូតការអនុញ្ញាតកម្មវិធី ទាញយកទិន្នន័យទីតាំងភូមិសាស្ត្រ និងច្រោះយកព័ត៌មានឧបករណ៍។ ការការពារបន្ថែមធានាថាមេរោគនឹងបញ្ចប់ ប្រសិនបើភាសាឧបករណ៍ត្រូវបានកំណត់ទៅជាភាសាចិននៅក្នុងតំបន់ពេលវេលាចិន ឬប្រសិនបើ Google Play Store ឬសេវាកម្ម Google Play មិនមាន។
នៅពេលបំពេញតាមលក្ខណៈវិនិច្ឆ័យប្រតិបត្តិការ Keenadu ឌិគ្រីបអាសយដ្ឋាន C2 របស់វា ហើយបញ្ជូនទិន្នន័យមេតាឧបករណ៍ដែលបានអ៊ិនគ្រីប។ ម៉ាស៊ីនមេឆ្លើយតបជាមួយនឹងការកំណត់រចនាសម្ព័ន្ធ JSON ដែលបានអ៊ិនគ្រីបដែលរៀបរាប់លម្អិតអំពីបន្ទុកដែលមាន។ ដើម្បីគេចពីការរកឃើញ និងធ្វើឱ្យការវិភាគស្មុគស្មាញ ទ្វារខាងក្រោយពន្យារពេលការដឹកជញ្ជូនបន្ទុកប្រហែលពីរខែកន្លះបន្ទាប់ពីការត្រួតពិនិត្យឧបករណ៍ដំបូង។ អ្នកវាយប្រហារពឹងផ្អែកលើ Alibaba Cloud ជាហេដ្ឋារចនាសម្ព័ន្ធចែកចាយខ្លឹមសាររបស់ពួកគេ។
ម៉ូឌុលព្យាបាទ៖ ការរកប្រាក់ ការលួចចូល និងការក្លែងបន្លំការផ្សាយពាណិជ្ជកម្ម
Keenadu ដំណើរការជាវេទិកាមេរោគម៉ូឌុលដែលមានសមត្ថភាពដាក់ពង្រាយសមាសធាតុឯកទេសផ្សេងៗ។ ម៉ូឌុលដែលបានកំណត់អត្តសញ្ញាណរួមមានដូចខាងក្រោម៖
- Keenadu Loader ដែលកំណត់គោលដៅលើវេទិកាពាណិជ្ជកម្មអេឡិចត្រូនិកដ៏ពេញនិយមដូចជា Amazon, Shein និង Temu ដែលអាចនាំឱ្យមានការរៀបចំរទេះទិញទំនិញដោយគ្មានការអនុញ្ញាត។
- Clicker Loader ត្រូវបានចាក់ចូលទៅក្នុងកម្មវិធីដូចជា YouTube, Facebook, Google Digital Wellbeing និង Android system launcher ដើម្បីធ្វើអន្តរកម្មក្លែងបន្លំជាមួយធាតុផ្សាយពាណិជ្ជកម្ម។
- ម៉ូឌុល Google Chrome ដែលកំណត់គោលដៅ Google Chrome ដើម្បីលួចយកសំណួរស្វែងរក ហើយបញ្ជូនបន្តពួកវាទៅម៉ាស៊ីនស្វែងរកជំនួស ទោះបីជាការជ្រើសរើសបំពេញដោយស្វ័យប្រវត្តិពេលខ្លះអាចរំខានដល់ការប៉ុនប៉ងលួចយកក៏ដោយ។
- Nova Clicker ដែលបានបង្កប់នៅក្នុងឧបករណ៍ជ្រើសរើសផ្ទាំងរូបភាពប្រព័ន្ធ និងទាញយកអត្ថប្រយោជន៍ពីការរៀនម៉ាស៊ីន និង WebRTC ដើម្បីចូលរួមជាមួយខ្លឹមសារផ្សាយពាណិជ្ជកម្ម។ សមាសភាគនេះពីមុនត្រូវបានវិភាគក្រោមឈ្មោះកូដ Phantom ដោយ Doctor Web។
- ដំឡើងម៉ូឌុលរកប្រាក់ ដែលបានបង្កប់នៅក្នុងកម្មវិធីបើកដំណើរការប្រព័ន្ធ ដើម្បីបង្កើតប្រាក់ចំណូលពីការផ្សាយពាណិជ្ជកម្មក្លែងក្លាយ ដោយកំណត់មិនត្រឹមត្រូវនូវការដំឡើងកម្មវិធី។
- ម៉ូឌុល Google Play ដែលទាញយកលេខសម្គាល់ការផ្សាយពាណិជ្ជកម្ម Google Ads ហើយរក្សាទុកវានៅក្រោមសោ 'S_GA_ID3' សម្រាប់ការតាមដានឆ្លងម៉ូឌុល និងការកំណត់អត្តសញ្ញាណជនរងគ្រោះ។
ខណៈពេលដែលការផ្តោតប្រតិបត្តិការបច្ចុប្បន្នផ្តោតលើការក្លែងបន្លំការផ្សាយពាណិជ្ជកម្ម ភាពបត់បែនរបស់ក្របខ័ណ្ឌនេះបង្ហាញពីសក្តានុពលដ៏សំខាន់សម្រាប់ការលួចព័ត៌មានសម្គាល់ និងប្រតិបត្តិការព្យាបាទដែលបានពង្រីកនាពេលអនាគត។
ការពង្រីកបណ្តាញចែកចាយ និងតំណភ្ជាប់ប្រព័ន្ធអេកូឡូស៊ី
ក្រៅពីការបង្កប់កម្រិតកម្មវិធីបង្កប់ វ៉ិចទ័រចែកចាយបន្ថែមត្រូវបានគេសង្កេតឃើញ។ ឧបករណ៍ផ្ទុក Keenadu ត្រូវបានបង្កប់នៅក្នុងកម្មវិធីប្រព័ន្ធស្នូលដូចជាសេវាកម្មសម្គាល់មុខ និងឧបករណ៍បាញ់បង្ហោះ។ យុទ្ធសាស្ត្រស្រដៀងគ្នានេះពីមុនត្រូវបានផ្សារភ្ជាប់ជាមួយ Dwphon ដែលកំណត់គោលដៅយន្តការធ្វើបច្ចុប្បន្នភាព OTA។
វិធីសាស្ត្រមួយផ្សេងទៀតដែលត្រូវបានគេសង្កេតឃើញពាក់ព័ន្ធនឹងប្រតិបត្តិការនៅក្នុងប្រព័ន្ធដែលត្រូវបានសម្របសម្រួលរួចហើយដោយទ្វារខាងក្រោយដែលបានដំឡើងជាមុនដាច់ដោយឡែកមួយដែលស្រដៀងនឹង BADBOX។ ការត្រួតស៊ីគ្នានៃហេដ្ឋារចនាសម្ព័ន្ធក៏ត្រូវបានកំណត់អត្តសញ្ញាណរវាង Triada និង BADBOX ដែលបង្ហាញពីកិច្ចសហការ botnet។ នៅក្នុងខែមីនា ឆ្នាំ 2025 ការតភ្ជាប់បន្ថែមទៀតបានលេចឡើងរវាង BADBOX និង Vo1d ដែលកំណត់គោលដៅឧបករណ៍ Android TV ក្រៅម៉ាក។
មេរោគ Keenadu ក៏ត្រូវបានចែកចាយតាមរយៈកម្មវិធីកាមេរ៉ាឆ្លាតវៃដែលមានមេរោគ trojan ដែលបានចេញផ្សាយនៅលើ Google Play ដោយ Hangzhou Denghong Technology Co., Ltd.។ កម្មវិធីដែលរងផលប៉ះពាល់រួមមាន៖
- Eoolii (com.taismart.global) – ទាញយកជាង 100,000 ដង
- Ziicam (com.ziicam.aws) - ទាញយកជាង 100,000 ដង
- Eyeplus – ផ្ទះរបស់អ្នកនៅក្នុងភ្នែករបស់អ្នក (com.closeli.eyeplus) – ទាញយកជាង 100,000 ដង
កម្មវិធីទាំងនេះត្រូវបានដកចេញពី Google Play ចាប់តាំងពីពេលនោះមក។ កំណែសមមូលក៏ត្រូវបានបោះពុម្ពផ្សាយទៅកាន់ Apple App Store ផងដែរ។ ទោះជាយ៉ាងណាក៏ដោយ កំណែ iOS មិនមានកូដព្យាបាទទេ ដែលពង្រឹងការសន្និដ្ឋានថា Keenadu ត្រូវបានរចនាឡើងជាពិសេសដើម្បីកំណត់គោលដៅថេប្លេត Android។
ផលប៉ះពាល់សន្តិសុខ៖ ការគំរាមកំហែងដល់គំរូទំនុកចិត្តស្នូលរបស់ Android
Keenadu តំណាងឱ្យការគំរាមកំហែងធ្ងន់ធ្ងរមួយដោយសារតែការរួមបញ្ចូលរបស់វានៅក្នុង libandroid_runtime.so ដែលអនុញ្ញាតឱ្យវាដំណើរការក្នុងបរិបទនៃកម្មវិធីនីមួយៗ។ នេះធ្វើឱ្យខូចដល់គំរូ sandboxing របស់ Android យ៉ាងមានប្រសិទ្ធភាព និងផ្តល់នូវការចូលប្រើទិន្នន័យឧបករណ៍ទាំងអស់ដោយសម្ងាត់។
សមត្ថភាពរបស់វាក្នុងការរំលងការគ្រប់គ្រងការអនុញ្ញាតស្តង់ដារ បានបំលែងមេរោគទៅជាច្រកចូលខាងក្រោយពេញលេញជាមួយនឹងសិទ្ធិអំណាចកម្រិតប្រព័ន្ធដែលគ្មានការរឹតត្បិត។ ភាពទំនើបនៃការអនុវត្តបង្ហាញពីជំនាញកម្រិតខ្ពស់ក្នុងស្ថាបត្យកម្ម Android ការគ្រប់គ្រងវដ្តជីវិតកម្មវិធី និងយន្តការសុវត្ថិភាពស្នូល។
Keenadu លេចធ្លោជាវេទិកាមេរោគទ្រង់ទ្រាយធំ និងស្មុគស្មាញខ្ពស់ ដែលមានសមត្ថភាពផ្តល់ការគ្រប់គ្រងជាប់លាប់ និងអាចបត់បែនបានលើឧបករណ៍ដែលរងការគំរាមកំហែង។ ទោះបីជាបច្ចុប្បន្នត្រូវបានទាញយកអត្ថប្រយោជន៍ជាចម្បងសម្រាប់ការក្លែងបន្លំការផ្សាយពាណិជ្ជកម្មក៏ដោយ ជម្រៅស្ថាបត្យកម្មរបស់វាបង្ហាញពីហានិភ័យដែលអាចទុកចិត្តបាននៃការកើនឡើងឆ្ពោះទៅរកការលួចអត្តសញ្ញាណ និងប្រតិបត្តិការឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតកាន់តែទូលំទូលាយ។
