Medusa Mobile Malware

មេរោគ Trojan របស់ធនាគារ Medusa បានលេចចេញជាថ្មីបន្ទាប់ពីរយៈពេលជិតមួយឆ្នាំនៃការរក្សាទម្រង់ទាប ដោយផ្តោតលើប្រទេសមួយចំនួនរួមមានប្រទេសបារាំង អ៊ីតាលី សហរដ្ឋអាមេរិក កាណាដា អេស្ប៉ាញ ចក្រភពអង់គ្លេស និងតួកគី។ សកម្មភាពថ្មីនេះ ដែលត្រូវបានត្រួតពិនិត្យតាំងពីខែឧសភា ពាក់ព័ន្ធនឹងវ៉ារ្យ៉ង់ដែលបានសម្រួលដែលតម្រូវឱ្យមានការអនុញ្ញាតតិចជាងមុន និងការណែនាំមុខងារថ្មីដែលមានបំណងចាប់ផ្តើមប្រតិបត្តិការដោយផ្ទាល់ពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

ត្រូវបានគេស្គាល់ផងដែរថាជា TangleBot, Medusa banking Trojan គឺជាប្រព័ន្ធប្រតិបត្តិការ Android Malware-as-a-Service (MaaS) ដែលត្រូវបានរកឃើញក្នុងឆ្នាំ 2020 ។ មេរោគនេះផ្តល់នូវសមត្ថភាពដូចជាការចាក់សោរ ការគ្រប់គ្រងអេក្រង់ និងការគ្រប់គ្រងសារ SMS ជាដើម។ ទោះបីជាមានការចែករំលែកឈ្មោះដូចគ្នាក៏ដោយ ប្រតិបត្តិការនេះគឺខុសគ្នាពីក្រុម ransomware និង botnet ដែលមានមូលដ្ឋានលើ Mirai ដែលស្គាល់សម្រាប់ការវាយប្រហារ Distributed Denial-of-Service (DDoS) ។

យុទ្ធនាការគំរាមកំហែងដាក់ពង្រាយ Medusa Mobile Malware

ការមើលឃើញដំបូងនៃកំណែ Medusa ចុងក្រោយបំផុតមានតាំងពីខែកក្កដា ឆ្នាំ 2023 នៅពេលដែលអ្នកស្រាវជ្រាវបានសង្កេតឃើញពួកវានៅក្នុងយុទ្ធនាការប្រើប្រាស់ SMS phishing ('smishing') ដើម្បីចែកចាយមេរោគតាមរយៈកម្មវិធី dropper ។ យុទ្ធនាការសរុបចំនួន 24 ដែលប្រើប្រាស់បំរែបំរួលទាំងនេះត្រូវបានកំណត់អត្តសញ្ញាណ ភ្ជាប់ទៅបណ្តាញ botnets ចំនួន 5 ផ្សេងគ្នា (UNKN, AFETZEDE, ANAKONDA, PEMBE និង TONY) ដែលនីមួយៗទទួលខុសត្រូវក្នុងការផ្តល់នូវកម្មវិធីដែលបង្កគ្រោះថ្នាក់។

UNKN botnet ត្រូវបានដំណើរការដោយក្រុមជាក់លាក់នៃតួអង្គគំរាមកំហែងដែលផ្តោតលើប្រទេសអ៊ឺរ៉ុប ជាពិសេសប្រទេសបារាំង អ៊ីតាលី អេស្ប៉ាញ និងចក្រភពអង់គ្លេស។ កម្មវិធី dropper ថ្មីៗដែលប្រើក្នុងការវាយប្រហារទាំងនេះរួមមាន:

• កម្មវិធីរុករក Chrome ក្លែងក្លាយ។
• កម្មវិធីភ្ជាប់ 5G ដែលគេអះអាង។
• កម្មវិធីស្ទ្រីមក្លែងក្លាយដែលមានឈ្មោះថា 4K Sports ។

ជម្រើសនៃកម្មវិធី 4K Sports ជានុយស្របគ្នានឹងការប្រកួតជើងឯក UEFA EURO 2024 ដែលកំពុងដំណើរការ ដែលធ្វើឱ្យវាក្លាយជាការទាក់ទាញទាន់ពេលវេលា។

អ្នកជំនាញកត់សម្គាល់ថាយុទ្ធនាការ និង botnet ទាំងអស់នេះត្រូវបានគ្រប់គ្រងតាមរយៈហេដ្ឋារចនាសម្ព័ន្ធកណ្តាលរបស់ Medusa ដែលទាញយក URL របស់ម៉ាស៊ីនមេ Command-and-Control (C2) យ៉ាងសកម្មពីទម្រង់ប្រព័ន្ធផ្សព្វផ្សាយសង្គមដែលអាចចូលប្រើជាសាធារណៈបាន។

ការកែប្រែថ្មីនៅក្នុងកំណែមេរោគ Medusa

អ្នកបង្កើតមេរោគ Medusa បានជ្រើសរើសកាត់បន្ថយផលប៉ះពាល់របស់វាទៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដោយកាត់បន្ថយចំនួនការអនុញ្ញាតដែលវាទាមទារ ទោះបីជាវានៅតែត្រូវការសេវាកម្មភាពងាយស្រួលរបស់ Android ក៏ដោយ។ ទោះបីជាមានការថយចុះនេះក៏ដោយ មេរោគនេះនៅតែរក្សាសមត្ថភាពរបស់ខ្លួនក្នុងការចូលទៅកាន់បញ្ជីទំនាក់ទំនងរបស់ជនរងគ្រោះ និងផ្ញើសារ SMS ដែលនៅតែជាវិធីសាស្ត្រសំខាន់សម្រាប់ការចែកចាយរបស់វា។

ការវិភាគបង្ហាញថា អ្នកនិពន្ធមេរោគបានលុបពាក្យបញ្ជាចំនួន 17 ពីការធ្វើឡើងវិញមុនរបស់វា ខណៈពេលដែលការណែនាំថ្មីចំនួន 5៖

• Destroyo៖ លុបកម្មវិធីជាក់លាក់មួយ។
• Permdrawover: ស្នើសុំការអនុញ្ញាត 'Drawing Over'
• Setoverlay៖ អនុវត្តការលាបលើអេក្រង់ខ្មៅ
• Take_scr៖ ចាប់យករូបថតអេក្រង់
• Update_sec៖ ធ្វើបច្ចុប្បន្នភាពការសម្ងាត់របស់អ្នកប្រើប្រាស់

ការព្រួយបារម្ភជាពិសេសគឺពាក្យបញ្ជា 'setoverlay' ដែលអាចឱ្យអ្នកវាយប្រហារពីចម្ងាយអាចអនុវត្តការបញ្ឆោតបញ្ឆោតដូចជាការបង្ហាញអេក្រង់ចាក់សោ ឬបិទថាមពល ដើម្បីបិទសកម្មភាពគំរាមកំហែងដូចជាការផ្ទេរមូលនិធិដែលមិនមានការអនុញ្ញាតដែលកើតឡើងនៅផ្ទៃខាងក្រោយ។

សមត្ថភាពដែលបានបន្ថែមថ្មីក្នុងការចាប់យករូបថតអេក្រង់តំណាងឱ្យការកែលម្អយ៉ាងសំខាន់ ដោយផ្តល់ឱ្យតួអង្គគំរាមកំហែងជាមួយនឹងវិធីសាស្រ្តថ្មីដើម្បីទាញយកព័ត៌មានរសើបចេញពីឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។

ប្រតិបត្តិកររបស់ Medusa កំពុងពង្រីកការផ្តោតអារម្មណ៍របស់ពួកគេ។

ប្រតិបត្តិការ Trojan របស់ធនាគារចល័ត Medusa ហាក់បីដូចជាកំពុងពង្រីកការផ្តោតអារម្មណ៍របស់ខ្លួន និងប្រើប្រាស់យុទ្ធសាស្ត្របំបាំងកាយ ដែលត្រួសត្រាយផ្លូវសម្រាប់ការដាក់ពង្រាយទ្រង់ទ្រាយធំ និងចំនួនជនរងគ្រោះកើនឡើង។ ខណៈពេលដែលអ្នកស្រាវជ្រាវមិនទាន់កំណត់អត្តសញ្ញាណកម្មវិធីដំណក់ទឹកណាមួយនៅលើ Google Play នោះ ការចូលរួមកើនឡើងនៃឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនៅក្នុង Malware-as-a-Service (MaaS) បានបង្ហាញថា យុទ្ធសាស្ត្រចែកចាយទំនងជានឹងកាន់តែសម្បូរបែប និងស្មុគ្រស្មាញ។