သင့်စမတ်ဖုန်းကို မိုဘိုင်း Proxy အဖြစ်ပြောင်းလဲသည့် Malware အားကြုံတွေ့ရ။

 

Proxy များကို ဌာနတွင်းကွန်ရက်၏ လုံခြုံရေးထိန်းချုပ်မှုအောက်မှ လွတ်ကင်းနိုင်ရန်အတွက် အသုံးပြုနိုင်ပါသည်။

သုတေသီများက Android ဖုန်းများကို မိုဘိုင်း proxy များအဖြစ် ပြောင်းလဲရန် ပစ်မှတ်ထားနေသော Phishing တိုက်ခိုက်မှုများကို ဖော်ထုတ်ခဲ့ကြပါသည်။

ဗုဒ္ဓဟူးနေ့တွင် ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီဖြစ်သော McAfee က “လှုပ်ရှားမှုဟာVoice Application အဖြစ် ဟန်ဆောင်ထားတဲ့ အဖျက်အမှောင့် APK ဖြစ်တဲ့ Android/TimpDoor ကိုဖြန့်ချီခဲ့ကြတာ ဖြစ်တယ်” ဟု ဆိုပါသည်။

TimpDoor သည် Google PlayStore မှမေးသော လုံခြုံရေးဆိုင်ရာ နည်းလမ်းများနှင့် ကာကွယ်မှုများမှ လွတ်ကင်းနေပါသည်။ Malware ၏နောက်ကွယ်မှ တိုက်ခိုက်သူများသည် ၎င်းတို့၏အဖျက်အမှောင့်ဆော့ဖ်ဝဲလ်ကို  Playstore တွင်တင်ရန် မကြိုးစားဘဲ အယောင်ဆောင် App ဆီရောက်နိုင်မည့် Link ပါသည့် Message မှတဆင့် ဖြန့်ဝေခြင်း ဖြစ်ပါသည်။

McAfee မိုဘိုင်းသုတေသနအဖွဲ့မှ ပြောဆိုသည်မှာ Application အားတစ်ကြိမ် Install ပြုလုပ်ပြီးပါက ထိုအယောင်ဆောင် App သည် နောက်ကွယ်တွင် အလုပ်လုပ်မည့် Service ကို စတင်ပြီး ၎င်း service က Sock Proxy ကိုစတင်လိုက်ပြီး သုံးစွဲသူမှ ဘာမျှမသိလိုက်ရဘဲ 3rd Party ဆာဗာတစ်ခုဆီမှ ကွန်ရက်သွားလာမှုဆီသို့ လမ်းကြောင်းပြောင်းစေပါသည်။

လှုပ်ရှားမှုသည် မတ်လမှစတင်ခဲ့ပြီး US ၏ Android သုံးစွဲသူများက ထူးဆန်းသော Message များကို ရရှိခဲ့ကြောင်း အစီရင်ခံခဲ့ကြပါသည်။ ပစ်မှတ်ထားခံရသောသူများဆီ ပို့သော Message များတွင် Voice Message (၂)စောင်ကို သေချာစွာနားထောင်ကြည့်ရန်နှင့် ထိုသို့နားထောင်ရန်အတွက် Link ကိုနှိပ်ရန် ပါရှိပါသည်။

အကယ်၍ ဖုန်းအသုံးပြုသူမှ ထို Link ကိုနှိပ်ပါက လှည့်ဖျားထားသော Web စာမျက်နှာတစ်ခု ပွင့်လာမည်ဖြစ်ပါသည်။ McAfee ၏အဆိုအရ ထိုစာမျက်နှာသည် နာမည်ကြီးကြော်ငြာဝန်ဆောင်မှု website ကဲ့သို့ အယောင်ဆောင်ထားပြီး ဖုန်းအသုံးပြုသူအား App ကို Install လုပ်ခိုင်းပါသည်။

တရားဝင်ဝန်ဆောင်မှုကဲ့သို့ ဟန်ဆောင်ထားကာ Voice Message ကို နားထောင်နိုင်ရန်အတွက် App ကို Install လုပ်ရန်နှင့် Android OS ထဲမှ “Unknow Source” ကို Enable လုပ်ရမည့် လမ်းညွှန်ချက်အားလည်း Website တွင် ထည့်သွင်းထားပါသည်။

ဤလမ်းညွှန်ချက်သည် Google Play မှမဟုတ်သော၊ jailbreak မလုပ်ထားသော ဖုန်းများအတွက် App များကို Install လုပ်ရန် လိုအပ်သောအဆင့်တစ်ခု ဖြစ်ပါသည်။

တစ်ကြိမ် Install ပြုလုပ်ပြီးပါက App သည် သာမန် Voice Software ပုံစံ ကဲ့သို့ ထင်ရသော်လည်း အချို့သော အယောင်ဆောင် အသံဖိုင်များမှအပ တကယ်တမ်းပါဝင်ရမည့် လုပ်ဆောင်ချက်များ App တွင် မပါဝင်ပါ။ အကယ်၍ App ကို ပိတ်ခဲ့လျှင်လည်း Icon အရုပ်သည် ပျောက်သွားခြင်းသာဖြစ်ပြီး ဖုန်းနှင့်ပတ်သက်သော အချက်အလက်များကို နောက်ကွယ်မှ စုဆောင်းနေပြီး Process သည် Proxy ကိုဖန်တီးရန် စတင်ပါသည်။

ကွန်ရက်ဒေတာစီးဆင်းမှုသည် SSH Tunnel မှတဆင့် ဖြစ်ပါသည်။ 

“ဒီအချက်က Firewall နဲ့ ကွန်ရက်စောင့်ကြည့်တဲ့ ကွန်ရက်လုံခြုံရေးယန္တရားတွေကို ကျော်လွှားပြီး အတွင်းပိုင်းကွန်ရက်အတွင်းသို့ ဝင်ရောက်ခွင့်ရရှိနိုင်ပါတယ်” ဟု McAfee မိုဘိုင်းသုတေသနအဖွဲ့မှ ဆိုပါသည်။

“ဖုန်းနဲ့ပတ်သက်တဲ့အချက်အလက်တွေကို စုဆောင်းပြီးတဲ့နောက်မှာ TimpDoor ဟာ Device ID ကိုပေးပို့လိုက်ပြီး သတ်မှတ်ထားတဲ့ remote port ကို ရရှိဖို့အတွက် ထိန်းချုပ်မှုစင်တာနဲ့  Secure Shell (SSH) ဆက်သွယ်မှုကို စတင်တယ်” ဟု McAfee က ပြောကြားပါသည်။ “ဒီ Port ကို Socks Proxy ဆာဗာအနေနဲ့ တိုက်ခိုက်ခံရတဲ့ဖုန်းနဲ့ နောက်ပိုင်းမှာ Forward လုပ်ပြီးဆက်သွယ်ဖို့ သုံးတာဖြစ်တယ်။”

ကွန်ရက်ဒေတာစီးဆင်းမှုနှင့် Payload နှစ်ခုလုံးအား Encrypt လုပ်ထားသောကြောင့် စီးပွားရေးလုပ်ငန်းကြီးများနှင့် အိမ်တွင်းကွန်ရက်များကို တိတ်တဆိတ်ဆက်သွယ်နိုင်ရန် TimpDoor အလုပ်လုပ်နေသော ဖုန်းများအား  Hijack လုပ်ခံရနိုင်ပါသည်။

ထိုထက်ပိုဆိုးသည်မှာ TimpDoor တိုက်ခိုက်ခံထားရသော ဖုန်းများ၏ ကွန်ရက်တစ်ခုလုံးကို bot အနေဖြင့် Phishing Email များပေးပို့ရန်၊ Ad-click လိမ်လည်မှုများဆောင်ရွက်ရန်၊ DDOS တိုက်ခိုက်မှုများစတင်ရန် အသုံးပြုနိုင်ပါသည်။

McAfee မှ Phishing လုပ်ရန်ကြိုးပမ်းမှုများကို ခြေရာခံခဲ့ပြီး TimpDoor Malware အားဖြန့်ချီရာ ပင်မဆာဗာကို တွေ့ရှိခဲ့ပါသည်။ စုစုပေါင်း မျိုးကွဲ (၂၆)မျိုးကို တွေ့ရှိခဲ့ပြီး APK နောက်ဆုံး Version ၏ရက်စွဲသည် သြဂုတ်လရက်စွဲနှင့် ဖြစ်ပါသည်။

သုတေသီများက အနည်းဆုံး ဖုန်း (၅၀၀၀)ခန့် ကူးစက်ခံရပြီး ဖြစ်သည်ဟု ယုံကြည်ပါသည်။

“ဒီလိုဘေးမျိုးကိုတော့ Google Play မှာမတွေ့ရပေမယ့်လည်း TimpDoor ကိုဖြန့်ဝေနေတဲ့ SMS Phishing တိုက်ခိုက်မှုကိုကြည့်ပြီး ဆိုက်ဘာရာဇဝတ်ကောင်တွေဟာ အဖျက်အမှောင့် Application တွေကို တင်ဖို့  Phishing နည်းလမ်းဟောင်းကြီးတွေကိုပဲ သုံးနေတုန်းဆိုတာ ပြပါတယ်” ဟု သုတေသီများက ဆိုပါသည်။
Malware သည် ကျယ်ကျယ်ပြန့်ပြန့် ပျံ့နှံ့ခြင်းမရှိသေးသော်လည်း ပျံ့နှံ့ရန်အတွက် နည်းလမ်းအချို့ရှိနေမည်ဟု McAfee က ယုံကြည်သလို Malware ၏ကုဒ်များမှာ ရိုးရှင်းလှသောကြောင့် ရေးသားဆဲဖြစ်မည်ဟု ယုံကြည်နေပါသည်။ မည်သို့ပင်ဖြစ်စေ၊ McAfee က Malware သည် နောက်ဆုံးတွင် မျိုးကွဲသစ်များ ထွက်လာမည်ဟု မျှော်လင့်ထားပါသည်။

Phishing domain များကို အသိပေးပြီးနောက်တွင် ၎င်း domain များသည် ယခုအချိန်တွင် မရှိတော့ပါ။

TimpDoor သည် Proxy များအဖြစ် ပြောင်းလဲပစ်ရန်အတွက် မိုဘိုင်းဖုန်းများအား ပစ်မှတ်ထားသော တစ်ခုတည်းသော ဥပမာ မဟုတ်ပါ။ ၂၀၁၇ ခုနှစ်တွင် Trend Micro က တွေ့ရှိခဲ့သော MilkyDoor Android Malware သည်လည်း Google Play ရှိ Trojan ဖြစ်နေသော App များမှတဆင့် ပြန့်ပွားကာ အဖျက်အမှောင့်လုပ်ရပ်များကို လုပ်ဆောင်သော DressCode ၏အမွေခံဖြစ်သည်ဟု ယုံကြည်ရပါကြောင်း…

“Charlie Obsorne” ၏ “Meet the malware which turns your smartphone into a mobile proxy” ဆောင်းပါးကို ဘာသာပြန်ဆိုပါသည်။

Source: www.mmcert.org.mm