TsarBot Banking Trojan

មេរោគ Android ដែលទើបរកឃើញថ្មីគឺ TsarBot បានលេចចេញជាការគំរាមកំហែងតាមអ៊ីនធឺណិតយ៉ាងសំខាន់។ ដោយកំណត់គោលដៅកម្មវិធីជាង 750 នៅទូទាំងវិស័យធនាគារ ហិរញ្ញវត្ថុ រូបិយប័ណ្ណគ្រីបតូ និងពាណិជ្ជកម្មអេឡិចត្រូនិក មេរោគនេះបង្កហានិភ័យយ៉ាងធ្ងន់ធ្ងរដល់ទិន្នន័យរសើបរបស់អ្នកប្រើប្រាស់។

របៀបដែល TsarBot ប្រមូលទិន្នន័យរបស់អ្នក។

TsarBot គឺជា Trojan ធនាគារទំនើបដែលប្រើការវាយប្រហារជាន់គ្នាដើម្បីលួចព័ត៌មានលម្អិតអំពីធនាគារ អត្តសញ្ញាណប័ណ្ណចូល និងព័ត៌មានកាតឥណទាន។ ប្រតិបត្តិការនៅទូទាំងតំបន់ជាច្រើន រួមទាំងអាមេរិកខាងជើង អឺរ៉ុប អាស៊ីប៉ាស៊ីហ្វិក និងមជ្ឈិមបូព៌ា-TsarBot ប្រើល្បិចបោកបញ្ឆោតដើម្បីជ្រៀតចូលឧបករណ៍ និងទាញយកទិន្នន័យយ៉ាងរលូន។

របៀបដែល TsarBot រីករាលដាល: អន្ទាក់និងល្បិច

TsarBot រីករាលដាលជាចម្បងតាមរយៈគេហទំព័រព្យាបាទដែលក្លែងធ្វើជាវេទិកាហិរញ្ញវត្ថុ។ ឧទាហរណ៍គួរឱ្យកត់សម្គាល់រួមមានកំណែក្លែងក្លាយនៃវេទិកាជួញដូរវិមជ្ឈការ Photon SOL ដែលបញ្ឆោតអ្នកប្រើប្រាស់ឱ្យទាញយកកម្មវិធីជួញដូរក្លែងបន្លំ។ លើសពីនេះទៀត ល្បិចបោកបញ្ឆោត និងវិស្វកម្មសង្គមដើរតួនាទីយ៉ាងសំខាន់ក្នុងការចែកចាយរបស់វា។

Malware ដូចជា TsarBot ជារឿយៗត្រូវបានបង្កប់នៅក្នុងខ្លឹមសារដែលហាក់ដូចជាគ្មានការបង្កគ្រោះថ្នាក់ ទៅដល់អ្នកប្រើប្រាស់តាមរយៈការទាញយកដោយដ្រាយវ៍ ការផ្សាយពាណិជ្ជកម្ម យុទ្ធសាស្ត្រលើអ៊ីនធឺណិត ប្រភពទាញយកគួរឱ្យសង្ស័យ អ៊ីមែលសារឥតបានការ បច្ចុប្បន្នភាពក្លែងក្លាយ និងមាតិកាលួចចម្លង។ វ៉ារ្យ៉ង់មួយចំនួនថែមទាំងអាចផ្សព្វផ្សាយដោយខ្លួនឯងតាមរយៈបណ្តាញមូលដ្ឋាន និងដ្រាយ USB ដែលធ្វើឱ្យវាកាន់តែពិបាកក្នុងការផ្ទុក។

របៀបដែល TsarBot ដំណើរការ: មេនៃការបោកប្រាស់

នៅពេលដំឡើងរួច—ជារឿយៗត្រូវបានក្លែងបន្លំជាសេវាកម្ម Google Play—TsarBot ប្រតិបត្តិការវាយប្រហារជាន់លើដោយបង្ហាញអេក្រង់ចូលក្លែងក្លាយនៅលើកម្មវិធីស្របច្បាប់។ នេះអនុញ្ញាតឱ្យវាប្រមូលព័ត៌មានបញ្ជាក់ការចូលដោយមិនបង្កើនការសង្ស័យ។

លើសពីការវាយប្រហារជាន់គ្នា TsarBot ប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់ដូចជាការថតអេក្រង់ ការបញ្ជាពីចម្ងាយនៃឧបករណ៍ដែលមានមេរោគ និងយន្តការចាក់សោរដែលចាប់យកកូដ PIN និងពាក្យសម្ងាត់ដោយប្រើអេក្រង់ចាក់សោក្លែងក្លាយ។ វាក៏អាចក្លែងធ្វើសកម្មភាពរបស់អ្នកប្រើប្រាស់ដូចជាការអូស និងការប៉ះ ខណៈពេលដែលលាក់សកម្មភាពរបស់វាជាមួយនឹងអេក្រង់លាបពណ៌ខ្មៅ។

ការតភ្ជាប់ Command-and-Control (C&C)

TsarBot ប្រាស្រ័យទាក់ទងជាមួយម៉ាស៊ីនមេ Command-and-Control (C&C) របស់ខ្លួនតាមរយៈការតភ្ជាប់ WebSocket ដែលបើកដំណើរការការលួចទិន្នន័យ និងសកម្មភាពក្លែងបន្លំតាមពេលវេលាជាក់ស្តែង។ ការតភ្ជាប់ទាំងនេះអនុញ្ញាតឱ្យមេរោគដើម្បីរៀបចំអេក្រង់ ប្រតិបត្តិកាយវិការ និងធ្វើអន្តរកម្មជាមួយកម្មវិធីគោលដៅ។

មេរោគនេះរក្សាបញ្ជីកម្មវិធីគោលដៅដែលបានធ្វើបច្ចុប្បន្នភាព រួមទាំងវេទិកាធនាគារពីប្រទេសឥណ្ឌា បារាំង ប៉ូឡូញ និងអូស្ត្រាលី ការជួញដូររូបិយប័ណ្ណគ្រីបតូ និងកម្មវិធីប្រព័ន្ធផ្សព្វផ្សាយសង្គម។ នៅពេលដែលអ្នកប្រើប្រាស់ធ្វើអន្តរកម្មជាមួយកម្មវិធីទាំងនេះ TsarBot ត្រួតលើទំព័របន្លំក្លែងក្លាយ ដើម្បីប្រមូលព័ត៌មានសម្ងាត់ ដោយបញ្ជូនទិន្នន័យដែលប្រមូលបានត្រឡប់ទៅម៉ាស៊ីនមេ C&C របស់វា។

របៀបរក្សាសុវត្ថិភាពពី TsarBot

ដើម្បីការពារប្រឆាំងនឹងការគម្រាមកំហែងដូចជា TsarBot អ្នកជំនាញផ្នែកសន្តិសុខតាមអ៊ីនធឺណិតបានណែនាំ៖

• ជៀសវាងប្រភពកម្មវិធីដែលមិនគួរឱ្យទុកចិត្ត និងហាងភាគីទីបី
• ប្រុងប្រយ័ត្នចំពោះតំណភ្ជាប់បន្លំ និងគេហទំព័រគួរឱ្យសង្ស័យ
• ការបើក Google Play Protect សម្រាប់សុវត្ថិភាពបន្ថែម
• ធ្វើបច្ចុប្បន្នភាពឧបករណ៍ជាប្រចាំ ដើម្បីជួសជុលភាពងាយរងគ្រោះ
• ការបដិសេធពីការទាញយកកម្មវិធីលួចចម្លង ឬបំបែក

នៅពេលដែល Trojan ធនាគារ Android កាន់តែទំនើប អ្នកប្រើប្រាស់ត្រូវតែមានការប្រុងប្រយ័ត្ន និងចាត់វិធានការសុវត្ថិភាពយ៉ាងសកម្មដើម្បីការពារទិន្នន័យរបស់ពួកគេ។