LianSpy Mobile Spyware
ចាប់តាំងពីឆ្នាំ 2021 មក អ្នកប្រើប្រាស់នៅក្នុងប្រទេសរុស្ស៊ីត្រូវបានកំណត់គោលដៅដោយ spyware ក្រោយការសម្របសម្រួលប្រព័ន្ធប្រតិបត្តិការ Android ដែលមិនមានឯកសារពីមុនដែលគេស្គាល់ថា LianSpy ។ អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពតាមអ៊ីនធឺណិតបានរកឃើញមេរោគនេះក្នុងខែមីនា ឆ្នាំ 2024។ អ្នកជំនាញបានគូសបញ្ជាក់ពីការប្រើប្រាស់ Yandex Cloud ដែលជាសេវាកម្មពពករបស់រុស្សី សម្រាប់ការទំនាក់ទំនង Command-and-Control (C2) ដែលអាចឱ្យវាជៀសផុតពីហេដ្ឋារចនាសម្ព័ន្ធជាក់លាក់ និងគេចពីការរកឃើញ។ LianSpy មានសមត្ថភាពចាប់យកការបញ្ចាំងស្គ្រីន ទាញយកឯកសារអ្នកប្រើ និងប្រមូលកំណត់ហេតុហៅទូរសព្ទ និងបញ្ជីកម្មវិធី។
វិធីសាស្រ្តចែកចាយនៃ spyware នេះនៅតែមិនច្បាស់លាស់ ប៉ុន្តែអ្នកស្រាវជ្រាវបានណែនាំថា វាទំនងជាត្រូវបានដាក់ពង្រាយតាមរយៈកំហុសសុវត្ថិភាពដែលមិនស្គាល់ ឬការចូលប្រើដោយផ្ទាល់ទៅកាន់ទូរស័ព្ទគោលដៅ។ កម្មវិធីបង្កប់មេរោគត្រូវបានក្លែងបន្លំជា Alipay ឬសេវាកម្មប្រព័ន្ធ Android ។
តារាងមាតិកា
តើ LianSpy Spyware ដំណើរការដោយរបៀបណា?
នៅពេលដែលបានធ្វើឱ្យសកម្ម LianSpy កំណត់ថាតើវាកំពុងដំណើរការជាកម្មវិធីប្រព័ន្ធដើម្បីដំណើរការក្នុងផ្ទៃខាងក្រោយជាមួយនឹងសិទ្ធិជាអ្នកគ្រប់គ្រងដែរឬទេ។ ប្រសិនបើមិនមានទេ វាស្នើសុំការអនុញ្ញាតជាច្រើនដើម្បីចូលប្រើទំនាក់ទំនង កំណត់ហេតុការហៅទូរសព្ទ ការជូនដំណឹង និងគូរការត្រួតលើអេក្រង់។
Spyware ក៏ពិនិត្យមើលថាតើវាកំពុងដំណើរការនៅក្នុងបរិយាកាសបំបាត់កំហុសដែរឬអត់ ដើម្បីកំណត់រចនាសម្ព័ន្ធដែលបន្តដំណើរការឡើងវិញ។ បន្ទាប់មក វាលាក់រូបតំណាងរបស់វាពីកម្មវិធីបើកដំណើរការ ហើយចាប់ផ្តើមសកម្មភាព ដូចជាការថតអេក្រង់ ការទាញយកទិន្នន័យ និងការធ្វើបច្ចុប្បន្នភាពការកំណត់របស់វា ដើម្បីបញ្ជាក់ប្រភេទព័ត៌មានដែលត្រូវចាប់យក។
នៅក្នុងវ៉ារ្យ៉ង់មួយចំនួន LianSpy រួមបញ្ចូលជម្រើសក្នុងការប្រមូលទិន្នន័យពីកម្មវិធីផ្ញើសារបន្ទាន់ដ៏ពេញនិយមនៅក្នុងប្រទេសរុស្ស៊ី និងដើម្បីគ្រប់គ្រងថាតើមេរោគដំណើរការតែនៅពេលភ្ជាប់ទៅ Wi-Fi ឬបណ្តាញទូរស័ព្ទ ក្នុងចំណោមការកំណត់ផ្សេងទៀត។
ដើម្បីធ្វើបច្ចុប្បន្នភាពការកំណត់រចនាសម្ព័ន្ធរបស់វា LianSpy ស្វែងរករាល់ 30 វិនាទីសម្រាប់ឯកសារនៅលើ Yandex Disk របស់តួអង្គគំរាមកំហែងដែលត្រូវនឹងកន្សោមធម្មតា '^frame_.+.png$.' ប្រសិនបើរកឃើញ ឯកសារត្រូវបានទាញយកទៅថតទិន្នន័យខាងក្នុងរបស់កម្មវិធី។
សមត្ថភាពបំបាំងកាយរបស់ LianSpy Spyware
ទិន្នន័យប្រមូលផលត្រូវបានអ៊ិនគ្រីប និងរក្សាទុកក្នុងតារាងទិន្នន័យ SQL ដែលកត់ត្រាប្រភេទទិន្នន័យ និងសញ្ញា SHA-256 របស់វា។ មានតែតួអង្គគំរាមកំហែងដែលមានសោ RSA ឯកជនដែលត្រូវគ្នាប៉ុណ្ណោះដែលអាចឌិគ្រីបព័ត៌មានដែលគេលួចនេះបាន។
LianSpy បង្ហាញពីការបំបាំងកាយរបស់ខ្លួនដោយគេចចេញពីលក្ខណៈពិសេសសូចនាករឯកជនភាពដែលបានណែនាំនៅក្នុង Android 12 ដែលទាមទារកម្មវិធីស្នើសុំការអនុញ្ញាតមីក្រូហ្វូន និងកាមេរ៉ាដើម្បីបង្ហាញរូបតំណាងរបារស្ថានភាព។
អ្នកអភិវឌ្ឍន៍នៃ LianSpy បានគ្រប់គ្រងដើម្បីរំលងការការពារនេះដោយបន្ថែមតម្លៃខាសទៅប៉ារ៉ាម៉ែត្រការកំណត់សុវត្ថិភាព Android 'icon_blacklist' ដែលរារាំងរូបតំណាងការជូនដំណឹងមិនឱ្យលេចឡើងក្នុងរបារស្ថានភាព។ លើសពីនេះ LianSpy លាក់ការជូនដំណឹងពីសេវាកម្មផ្ទៃខាងក្រោយដែលវាហៅដោយប្រើ 'NotificationListenerService' ដើម្បីដំណើរការ និងទប់ស្កាត់ការជូនដំណឹងរបារស្ថានភាព។
តួអង្គគំរាមកំហែងកាន់តែខ្លាំងឡើងទាញយកអត្ថប្រយោជន៍នៃសេវាកម្មស្របច្បាប់
លក្ខណៈពិសេសដ៏ស្មុគ្រស្មាញរបស់ LianSpy ពាក់ព័ន្ធនឹងការប្រើប្រាស់ប្រព័ន្ធគោលពីរ 'su' ដែលប្តូរឈ្មោះទៅជា 'mu' ដើម្បីទទួលបានសិទ្ធិជា root ។ នេះបង្ហាញថាមេរោគទំនងជាត្រូវបានបញ្ជូនតាមរយៈការកេងប្រវ័ញ្ចដែលមិនស្គាល់ ឬការចូលប្រើប្រាស់ជាក់ស្តែងទៅកាន់ឧបករណ៍។
LianSpy ក៏សង្កត់ធ្ងន់លើការបំបាំងកាយដោយអនុវត្តការទំនាក់ទំនង unidirectional Command-and-Control (C2) មានន័យថាមេរោគមិនទទួលបានពាក្យបញ្ជាចូលទេ។ វាប្រើ Yandex Disk សម្រាប់ទាំងការបញ្ជូនទិន្នន័យប្រមូលផល និងរក្សាទុកពាក្យបញ្ជាកំណត់រចនាសម្ព័ន្ធ។
លិខិតសម្គាល់សម្រាប់ Yandex Disk ត្រូវបានធ្វើបច្ចុប្បន្នភាពតាមរយៈ URL Pastebin ដែលមានកូដរឹង ដែលប្រែប្រួលរវាងមេរោគផ្សេងៗ។ ការប្រើប្រាស់សេវាកម្មស្របច្បាប់បានបន្ថែមស្រទាប់បន្ថែមនៃភាពច្របូកច្របល់ ដែលធ្វើឱ្យស្មុគស្មាញដល់គុណលក្ខណៈ។
ក្នុងនាមជាធាតុចុងក្រោយបំផុតនៅក្នុងឧបករណ៍ spyware ដែលកំពុងកើនឡើង LianSpy កំណត់គោលដៅលើឧបករណ៍ចល័ត - ទាំង Android និង iOS - ដោយទាញយកភាពងាយរងគ្រោះសូន្យថ្ងៃ។ បន្ថែមពីលើយុទ្ធសាស្ត្រចារកម្មស្តង់ដារ ដូចជាការប្រមូលកំណត់ហេតុហៅទូរសព្ទ និងបញ្ជីកម្មវិធី វាប្រើប្រាស់សិទ្ធិជា root សម្រាប់ការថតអេក្រង់សម្ងាត់ និងការគេចវេស។ ការប្រើប្រាស់ប្រព័ន្ធគោលពីរដែលបានប្តូរឈ្មោះ 'su' បង្ហាញថាវាអាចពាក់ព័ន្ធនឹងការឆ្លងមេរោគបន្ទាប់បន្សំបន្ទាប់ពីការសម្របសម្រួលដំបូង។
