មេរោគ Android ថ្មី 'Herodotus' ឆ្លាតជាងប្រព័ន្ធប្រឆាំងការក្លែងបន្លំដោយការវាយអក្សរដូចមនុស្ស

ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានបង្ហាញព័ត៌មានលម្អិតអំពីមេរោគ Trojan ធនាគារ Android ថ្មីមួយដែលមានឈ្មោះថា Herodotus ដែលត្រូវបានគេសង្កេតឃើញនៅក្នុងយុទ្ធនាការសកម្មដែលកំណត់គោលដៅប្រទេសអ៊ីតាលី និងប្រេស៊ីល ដើម្បីធ្វើការវាយប្រហារដណ្តើមយកឧបករណ៍ (DTO)។

ThreatFabric បាននិយាយនៅក្នុងរបាយការណ៍មួយដែលចែករំលែកជាមួយ The Hacker News ថា "Herodotus ត្រូវបានរចនាឡើងដើម្បីអនុវត្តការដណ្តើមយកឧបករណ៍ ខណៈពេលដែលកំពុងព្យាយាមធ្វើត្រាប់តាមឥរិយាបថរបស់មនុស្ស និងរំលងការរកឃើញជីវមាត្រឥរិយាបថ"។

ក្រុមហ៊ុនសន្តិសុខហូឡង់បាននិយាយថា មេរោគ Trojan នេះត្រូវបានផ្សព្វផ្សាយជាលើកដំបូងនៅក្នុងវេទិកាក្រោមដីនៅថ្ងៃទី 7 ខែកញ្ញា ឆ្នាំ 2025 ដែលជាផ្នែកមួយនៃគំរូ malware-as-a-service (MaaS) ដោយអួតអាងពីសមត្ថភាពរបស់វាក្នុងការដំណើរការលើឧបករណ៍ដែលដំណើរការ Android កំណែ 9 ដល់ 16។

វាត្រូវបានវាយតម្លៃថា ខណៈពេលដែលមេរោគនេះមិនមែនជាការវិវត្តដោយផ្ទាល់នៃមេរោគធនាគារមួយផ្សេងទៀតដែលគេស្គាល់ថា Brokewell វាហាក់ដូចជាបានយកផ្នែកជាក់លាក់របស់វាដើម្បីដាក់បញ្ចូលគ្នានូវពូជថ្មី។ នេះរួមបញ្ចូលទាំងភាពស្រដៀងគ្នានៅក្នុងបច្ចេកទេសបិទបាំងដែលបានប្រើ ក៏ដូចជាការលើកឡើងដោយផ្ទាល់អំពី Brokewell នៅក្នុង Herodotus (ឧទាហរណ៍ "BRKWL_JAVA")។

Herodotus ក៏ជាមេរោគចុងក្រោយបង្អស់ក្នុងចំណោមមេរោគ Android ជាច្រើនដែលបំពានសេវាកម្មភាពងាយស្រួលដើម្បីសម្រេចគោលដៅរបស់ខ្លួន។ ចែកចាយតាមរយៈកម្មវិធី dropper ដែលក្លែងបន្លំជា Google Chrome (ឈ្មោះកញ្ចប់ "com.cd3.app") តាមរយៈការបន្លំតាម SMS ឬល្បិចវិស្វកម្មសង្គមផ្សេងទៀត កម្មវិធីព្យាបាទនេះទាញយកអត្ថប្រយោជន៍ពីមុខងារភាពងាយស្រួលដើម្បីធ្វើអន្តរកម្មជាមួយអេក្រង់ បម្រើអេក្រង់ត្រួតលើគ្នាស្រអាប់ដើម្បីលាក់សកម្មភាពព្យាបាទ និងធ្វើការលួចព័ត៌មានសម្ងាត់ដោយបង្ហាញអេក្រង់ចូលក្លែងក្លាយនៅលើកម្មវិធីហិរញ្ញវត្ថុ។

លើសពីនេះ វាក៏អាចលួចលេខកូដផ្ទៀងផ្ទាត់ពីរកត្តា (2FA) ដែលបានផ្ញើតាមរយៈ SMS ស្ទាក់ចាប់អ្វីគ្រប់យ៉ាងដែលបង្ហាញនៅលើអេក្រង់ ផ្តល់សិទ្ធិបន្ថែមតាមតម្រូវការ ចាប់យកលេខកូដ PIN ឬលំនាំអេក្រង់ចាក់សោ និងដំឡើងឯកសារ APK ពីចម្ងាយ។

ប៉ុន្តែ​ចំណុច​ដែល​មេរោគ​ថ្មី​លេចធ្លោ​គឺ​សមត្ថភាព​របស់​វា​ក្នុង​ការ​ធ្វើ​ឲ្យ​ការ​ក្លែងបន្លំ​មាន​លក្ខណៈ​មនុស្សធម៌ និង​គេចវេះ​ការ​រក​ឃើញ​ដែល​ផ្អែក​លើ​ពេលវេលា។ ជាពិសេស នេះ​រួម​បញ្ចូល​ជម្រើស​មួយ​ដើម្បី​ណែនាំ​ការ​ពន្យារ​ពេល​ចៃដន្យ​នៅពេល​ចាប់ផ្តើម​សកម្មភាព​ពីចម្ងាយ​ដូចជា​ការ​វាយ​អក្សរ​នៅលើ​ឧបករណ៍។ នេះ ThreatFabric បាន​និយាយ​ថា នេះ​គឺជា​ការ​ប៉ុនប៉ង​របស់​អ្នក​គំរាមកំហែង​ដើម្បី​ធ្វើ​ឲ្យ​វា​ហាក់​ដូចជា​ការ​បញ្ចូល​កំពុង​ត្រូវ​បាន​បញ្ចូល​ដោយ​អ្នកប្រើប្រាស់​ពិតប្រាកដ។  

វា​បាន​ពន្យល់​ថា "ការ​ពន្យារ​ពេល​ដែល​បាន​បញ្ជាក់​គឺ​ស្ថិត​ក្នុង​ចន្លោះ​ពី 300 – 3000 មិល្លីវិនាទី (0,3 – 3 វិនាទី)"។ "ការ​ចៃដន្យ​នៃ​ការ​ពន្យារ​ពេល​រវាង​ព្រឹត្តិការណ៍​បញ្ចូល​អត្ថបទ​បែបនេះ​ស្រប​នឹង​របៀប​ដែល​អ្នកប្រើប្រាស់​នឹង​បញ្ចូល​អត្ថបទ។ ដោយ​ការ​ពន្យារ​ពេល​បញ្ចូល​ដោយ​ចេតនា​ដោយ​ចន្លោះ​ពេល​ចៃដន្យ អ្នក​ដើរតួ​ទំនង​ជា​កំពុង​ព្យាយាម​ជៀសវាង​ការ​ត្រូវ​បាន​រកឃើញ​ដោយ​ដំណោះស្រាយ​ប្រឆាំង​ការ​ក្លែងបន្លំ​ដែល​មាន​ឥរិយាបថ​តែ​មួយ​គត់​ដែល​សម្គាល់​ល្បឿន​ដូច​ម៉ាស៊ីន​នៃ​ការ​បញ្ចូល​អត្ថបទ"។

ThreatFabric បាន​និយាយ​ថា វា​ក៏​ទទួល​បាន​ទំព័រ​ត្រួត​គ្នា​ដែល​ប្រើ​ដោយ Herodotus ដែល​កំណត់​គោលដៅ​អង្គការ​ហិរញ្ញវត្ថុ​នៅ​សហរដ្ឋអាមេរិក តួកគី ចក្រភពអង់គ្លេស និង​ប៉ូឡូញ រួម​ជាមួយ​កាបូប​រូបិយប័ណ្ណ​ឌីជីថល និង​ការ​ផ្លាស់ប្តូរ ដែល​បង្ហាញ​ថា​ប្រតិបត្តិករ​កំពុង​ព្យាយាម​ពង្រីក​ការយល់ដឹង​របស់​ពួកគេ​យ៉ាង​សកម្ម។

ក្រុមហ៊ុនបានកត់សម្គាល់ថា "វាកំពុងស្ថិតក្រោមការអភិវឌ្ឍយ៉ាងសកម្ម ខ្ចីបច្ចេកទេសដែលជាប់ទាក់ទងជាយូរមកហើយជាមួយមេរោគ Brokewell banking Trojan ហើយហាក់ដូចជាត្រូវបានបង្កើតឡើងដើម្បីបន្តនៅក្នុងវគ្គផ្សាយផ្ទាល់ជាជាងគ្រាន់តែលួចយកព័ត៌មានសម្ងាត់ឋិតិវន្ត និងផ្តោតលើការកាន់កាប់គណនី"។

ការរកឃើញនេះកើតឡើងនៅពេលដែល CYFIRMA បានរៀបរាប់លម្អិតអំពីមេរោគ Android កម្រិតខ្ពស់មួយដែលមានឈ្មោះថា GhostGrab ដែលមានសមត្ថភាពប្រមូលព័ត៌មានសម្ងាត់ធនាគារជាប្រព័ន្ធ ខណៈពេលដែលកំពុងជីកយករូបិយប័ណ្ណគ្រីបតូ Monero ដោយសម្ងាត់នៅលើឧបករណ៍ដែលឆ្លងមេរោគ ដោយបង្កើត "លំហូរចំណូលពីរ" សម្រាប់តួអង្គគំរាមកំហែង។ យុទ្ធនាការនេះហាក់ដូចជាកំពុងកំណត់គោលដៅអ្នកប្រើប្រាស់ Android នៅក្នុងប្រទេសឥណ្ឌា។

កម្មវិធី dropper ដែលធ្វើត្រាប់តាមកម្មវិធីហិរញ្ញវត្ថុ ស្នើសុំការអនុញ្ញាត REQUEST_INSTALL_PACKAGES ដើម្បីសម្រួលដល់ការដំឡើង APK បន្ថែមនៅក្នុងកម្មវិធីដោយមិនចាំបាច់ប្រើ Google Play Store។ បន្ទុកសំខាន់ដែលបានដំឡើងនៅលើឧបករណ៍ស្នើសុំសំណុំនៃការអនុញ្ញាតដែលមានហានិភ័យខ្ពស់ដើម្បីបើកការបញ្ជូនបន្តការហៅ លួចទិន្នន័យ SMS និងបម្រើទំព័រ WebView ក្លែងក្លាយដែលធ្វើត្រាប់តាមទម្រង់ KYC ដើម្បីប្រមូលព័ត៌មានផ្ទាល់ខ្លួន រួមទាំងព័ត៌មានលម្អិតកាត លេខកូដសម្ងាត់ ATM បួនខ្ទង់ និងអត្តសញ្ញាណប័ណ្ណរដ្ឋាភិបាលដូចជាលេខ Aadhaar។

ក្រុមហ៊ុននេះបាននិយាយថា "GhostGrab ដំណើរការជាការគំរាមកំហែងចម្រុះ ដោយរួមបញ្ចូលគ្នានូវប្រតិបត្តិការជីកយករូបិយប័ណ្ណគ្រីបតូសម្ងាត់ជាមួយនឹងសមត្ថភាពលួចយកទិន្នន័យដ៏ទូលំទូលាយ"។ "វាត្រូវបានរចនាឡើងដើម្បីប្រមូលព័ត៌មានហិរញ្ញវត្ថុដ៏រសើបជាប្រព័ន្ធ រួមទាំងព័ត៌មានធនាគារ ព័ត៌មានលម្អិតកាតឥណពន្ធ និងពាក្យសម្ងាត់ម្តង (OTP) តាមរយៈការស្ទាក់ចាប់សារ SMS"។