សម្រង់បញ្ចុះតម្លៃច្រើនអាជ្ញាប័ណ្ណ
មូលដ្ឋានទិន្នន័យគំរាមកំហែង ម៉ាលវែរចល័ត មេរោគ Trojan របស់ធនាគារ Rokarolla

មេរោគ Trojan របស់ធនាគារ Rokarolla

ដោយ Mezo ក្នុង ម៉ាលវែរចល័ត, ធនាគារ Trojan
បកប្រែទៅ៖

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណមេរោគ Trojan ថ្មីមួយប្រភេទសម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android ដែលគេស្គាល់ថា Rokarolla ដែលដាក់ឈ្មោះតាមហេដ្ឋារចនាសម្ព័ន្ធ Command-and-Control (C2) របស់វា។ មេរោគនេះត្រូវបានរចនាឡើងដើម្បីកំណត់គោលដៅសេវាកម្មហិរញ្ញវត្ថុយ៉ាងទូលំទូលាយ ជាមួយនឹងសមត្ថភាពក្នុងការវាយប្រហារកម្មវិធីធនាគារ និងរូបិយប័ណ្ណគ្រីបតូចំនួន 217។ បំពាក់ដោយពាក្យបញ្ជាពីចម្ងាយចំនួន 137 Rokarolla ផ្តល់ឱ្យឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតនូវកម្រិតនៃការគ្រប់គ្រងដ៏ល្អឥតខ្ចោះលើឧបករណ៍ដែលរងការលួចចូល។

នៅពេលដំឡើងរួច មេរោគនេះអាចលុបការការពារអេក្រង់ចាក់សោ ស្ទាក់ចាប់ និងផ្ញើសារ SMS រៀបចំមាតិកាក្ដារតម្បៀតខ្ទាស់ដើម្បីប្តូរទិសការផ្ទេររូបិយប័ណ្ណគ្រីបតូ និងថែមទាំងបិទយន្តការសុវត្ថិភាពដែលភ្ជាប់មកជាមួយរបស់ Google ទៀតផង។

ការចែកចាយក្លែងបន្លំតាមរយៈកម្មវិធីក្លែងក្លាយ

មេរោគ Rokarolla ត្រូវបានចែកចាយជាចម្បងតាមរយៈគេហទំព័រព្យាបាទដែលក្លែងបន្លំជាកម្មវិធីស្របច្បាប់ និងពេញនិយម រួមទាំង TikTok និង Google Chrome។

ដំបូងឡើយ ជនរងគ្រោះទាញយកកម្មវិធី dropper ដែលក្លែងបន្លំជា Google Play Protect។ តាមរយៈការកេងប្រវ័ញ្ចរូបរាងដែលគួរឱ្យទុកចិត្តនេះ dropper បញ្ចុះបញ្ចូលអ្នកប្រើប្រាស់ឱ្យផ្តល់ការអនុញ្ញាត Accessibility Service និងជួយសម្រួលដល់ការដំឡើង payload ព្យាបាទ។ បន្ទាប់ពីការប្រតិបត្តិ ពាក្យបញ្ជាមួយរបស់ Rokarolla នឹងបិទ Play Protect ភ្លាមៗ ដោយលុបបំបាត់ស្រទាប់សុវត្ថិភាព Android ដ៏សំខាន់មួយ។

ការវាយប្រហារ Overlay ដែលត្រូវបានរចនាឡើងដើម្បីលួចយកព័ត៌មានសម្ងាត់

ការលួចព័ត៌មានសម្ងាត់ត្រូវបានអនុវត្តតាមរយៈការវាយប្រហារបែប overlay ដ៏ស្មុគស្មាញ។ Rokarolla ទាញយកបញ្ជីកម្មវិធីគោលដៅពីម៉ាស៊ីនមេបញ្ជារបស់វា ហើយទាញយកទំព័រចូល HTML ក្លែងក្លាយដែលត្រូវគ្នានឹងកម្មវិធីទាំងនោះ។ ចំណុចប្រទាក់ក្លែងក្លាយទាំងនេះត្រូវបានរក្សាទុកក្នុងមូលដ្ឋាន និងបង្ហាញនៅពេលណាដែលជនរងគ្រោះបើកកម្មវិធីធនាគារ ឬរូបិយប័ណ្ណគ្រីបតូស្របច្បាប់។

អេក្រង់ក្លែងក្លាយទាំងនេះត្រូវបានរចនាឡើងដើម្បីចាប់យកព័ត៌មានទាំងអស់ដែលបានបញ្ចូលដោយអ្នកប្រើប្រាស់ រួមទាំងឈ្មោះអ្នកប្រើប្រាស់ ពាក្យសម្ងាត់ និងព័ត៌មានលម្អិតកាតទូទាត់។ អ្នកស្រាវជ្រាវបានសង្កេតឃើញឧទាហរណ៍មួយដែលធ្វើត្រាប់តាមកម្មវិធីធនាគារ 'imagin' យ៉ាងគួរឱ្យជឿជាក់។

មេរោគនេះក៏ដាក់ពង្រាយអេក្រង់ចាក់សោរ Android ក្លែងក្លាយដែលមានសមត្ថភាពប្រមូលលេខកូដ PIN លំនាំ និងពាក្យសម្ងាត់។ សមត្ថភាពនេះអនុញ្ញាតឱ្យអ្នកវាយប្រហាររក្សាការចូលប្រើ និងការគ្រប់គ្រងសូម្បីតែពេលដែលឧបករណ៍ត្រូវបានចាក់សោក៏ដោយ។

ការលួចព័ត៌មានសម្ងាត់ ការឃ្លាំមើល និងការក្លែងបន្លំហិរញ្ញវត្ថុក្នុងកញ្ចប់តែមួយ

Rokarolla រួមបញ្ចូលគ្នានូវយន្តការឃ្លាំមើល និងចោរកម្មជាច្រើន ដើម្បីបង្កើនប្រសិទ្ធភាពនៃការប្រមូលទិន្នន័យ និងប្រាក់ចំណេញផ្នែកហិរញ្ញវត្ថុ៖

  • សមត្ថភាពត្រួតពិនិត្យសារ SMS និងផ្ញើសារពេញលេញអាចឱ្យមានការស្ទាក់ចាប់ពាក្យសម្ងាត់តែម្តងដែលប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវនៃធនាគារ និងការអនុម័តប្រតិបត្តិការ។
  • តាមរយៈការកំណត់ខ្លួនវាជាកម្មវិធីផ្ញើសារ និងហៅទូរសព្ទលំនាំដើមរបស់ឧបករណ៍ មេរោគអាចរារាំងការហៅចូល ដែលអាចការពារការព្រមានអំពីការក្លែងបន្លំពីការទៅដល់ជនរងគ្រោះ។
  • មុខងារ​កត់ត្រា​គ្រាប់ចុច និង​កត់ត្រា​អេក្រង់​ដែល​រួមបញ្ចូលគ្នា​ចាប់យក​សកម្មភាព​អ្នកប្រើប្រាស់ ខណៈពេលដែល​ទំនាក់ទំនង និង​ការជូនដំណឹង​ត្រូវបាន​ប្រមូល​ជាបន្តបន្ទាប់។
  • ការរៀបចំ Clipboard ជំនួសអាសយដ្ឋានកាបូបរូបិយប័ណ្ណគ្រីបតូដែលបានចម្លងដោយស្ងាត់ៗជាមួយនឹងអាសយដ្ឋានដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដោយបង្វែរប្រាក់ដោយមិនដឹងខ្លួនពីជនរងគ្រោះ។

    • បច្ចេកទេសត្រួតពិនិត្យដោយលួចលាក់គេចពីការរកឃើញ

    មិនដូចមេរោគ Android ជាច្រើនដែលពឹងផ្អែកលើការថតអេក្រង់ដែលមានមូលដ្ឋានលើ MediaProjection នោះទេ Rokarolla ប្រើប្រាស់យុទ្ធសាស្ត្រឃ្លាំមើលស្ងាត់ជាង។ ជំនួសឱ្យការបង្កការជូនដំណឹងអំពីការថតដែលអាចមើលឃើញ វាចាប់យករូបថតអេក្រង់តាមរយៈសេវាកម្មភាពងាយស្រួល បង្ហាប់វាទៅជាឯកសារ PNG ហើយបញ្ជូនវាដោយឡែកពីគ្នាទៅកាន់ប្រតិបត្តិកររបស់វា។

    វិធីសាស្រ្តនេះកាត់បន្ថយលទ្ធភាពនៃការរកឃើញ ខណៈពេលដែលនៅតែផ្តល់ឱ្យអ្នកវាយប្រហារនូវទិដ្ឋភាពលម្អិតនៃសកម្មភាពអ្នកប្រើប្រាស់។ បើប្រៀបធៀបទៅនឹងការអនុវត្ត VNC ដែលលាក់កំបាំងដែលប្រើដោយក្រុមគ្រួសារមេរោគដូចជា HOOK និង Klopatra ការត្រួតពិនិត្យផ្អែកលើរូបថតអេក្រង់របស់ Rokarolla គឺសាមញ្ញជាង និងសម្ងាត់ជាង។

    ហេដ្ឋារចនាសម្ព័ន្ធដែលអាចបត់បែនបាន និងនិន្នាការមេរោគដែលកំពុងពង្រីកខ្លួន

    មេរោគនេះត្រូវបានបង្កើតឡើងដើម្បីទប់ទល់នឹងការខិតខំប្រឹងប្រែងរំខាន។ ដែនបញ្ជា និងត្រួតពិនិត្យបម្រុងទុកច្រើនត្រូវបានបង្កប់នៅក្នុងកូដ ហើយប្រតិបត្តិករអាចកំណត់ម៉ាស៊ីនមេបន្ថែមដោយស្វ័យប្រវត្តិនៅពេលណាដែលត្រូវការ។ ជាលទ្ធផល ការបិទម៉ាស៊ីនមេបញ្ជាតែមួយមានផលប៉ះពាល់តិចតួចលើប្រតិបត្តិការទាំងមូល។

    សំណុំពាក្យបញ្ជាដ៏ទូលំទូលាយរបស់វាលើសពីពាក្យបញ្ជាចំនួន 107 ដែលបានកត់ត្រាពីមុននៅក្នុងមេរោគ HOOK banking trojan ដែលឆ្លុះបញ្ចាំងពីភាពទំនើបកាន់តែខ្លាំងឡើងនៃមេរោគ Android banking malware ដែលសង្កេតឃើញពេញមួយឆ្នាំ 2026។ វិធីសាស្ត្រវាយប្រហារធ្វើតាមគំរូដែលធ្លាប់ស្គាល់ ដែលកាន់តែក្លាយជារឿងធម្មតា៖

    • ការចែកចាយតាមរយៈអ្នកដំឡើងកម្មវិធីក្លែងក្លាយ។
    • ការរំលោភលើសេវាកម្មភាពងាយស្រួលសម្រាប់ការបង្កើនសិទ្ធិ និងការគ្រប់គ្រងឧបករណ៍។
    • ការប្រើប្រាស់​ស្រទាប់​ដែលមានមូលដ្ឋានលើ HTML ដើម្បីប្រមូលព័ត៌មានសម្ងាត់ និងព័ត៌មានរសើប។

    វិធានការការពារនៅតែមានសារៈសំខាន់

    ដោយសារតែ Rokarolla គឺជាមេរោគជាជាងភាពងាយរងគ្រោះផ្នែកកម្មវិធី ដូច្នេះមិនមានបំណះសុវត្ថិភាពណាមួយដែលមានសមត្ថភាពលុបបំបាត់ការគំរាមកំហែងនោះទេ។ ការការពារអាស្រ័យលើការអនុវត្តតាមការអនុវត្តសុវត្ថិភាព Android ដែលបានបង្កើតឡើង។

    កម្មវិធីគួរតែត្រូវបានដំឡើងពី Google Play Store ផ្លូវការតែប៉ុណ្ណោះ Google Play Protect គួរតែនៅតែបើកដំណើរការគ្រប់ពេលវេលា ហើយសំណើសុំសិទ្ធិចូលប្រើដែលមិនបានរំពឹងទុកណាមួយគួរតែត្រូវបានចាត់ទុកថាជាសញ្ញាព្រមានដ៏សំខាន់មួយ។ ការចូលប្រើដែលមានភាពងាយស្រួលបម្រើជាមូលដ្ឋានគ្រឹះនៃខ្សែសង្វាក់វាយប្រហាររបស់ Rokarolla និងអនុញ្ញាតឱ្យមានសមត្ថភាពគ្រោះថ្នាក់បំផុតជាច្រើនរបស់វា។

    ការបញ្ជាក់អត្តសញ្ញាណនៅតែមិនស្គាល់

    នៅពេលរាយការណ៍ Rokarolla មិនត្រូវបានផ្សារភ្ជាប់ទៅនឹងអ្នកគំរាមកំហែង ឬក្រុមឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតណាមួយដែលត្រូវបានកំណត់អត្តសញ្ញាណជាសាធារណៈនោះទេ។ យ៉ាងណាក៏ដោយ ការរចនារបស់វាបង្ហាញយ៉ាងច្បាស់អំពីការខិតខំប្រឹងប្រែងដោយចេតនាដើម្បីរំលងការការពារដែលអ្នកប្រើប្រាស់ Android ត្រូវបានលើកទឹកចិត្តឱ្យទុកចិត្ត រួមទាំង Play Protect ការការពារអេក្រង់ចាក់សោ និងការគ្រប់គ្រងសុវត្ថិភាពដែលភ្ជាប់មកជាមួយផ្សេងទៀត។

    សមត្ថភាពរបស់មេរោគនេះបង្ហាញពីការវិវត្តជាបន្តបន្ទាប់នៃមេរោគ Trojans សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Android និងការកើនឡើងនៃភាពទំនើបនៃការគំរាមកំហែងតាមទូរស័ព្ទចល័តដែលជំរុញដោយហិរញ្ញវត្ថុ។

    កំពុង​ផ្ទុក...