Home Cyber News အေက်ာ္အခြေတာ္တဲ့ Malware မ်ား

အေက်ာ္အခြေတာ္တဲ့ Malware မ်ား

အရင္လတုန္းက အန္ဒ႐ိုက္ မာ့(ရွ)မယ္လိုရဲ႕ လုံၿခဳံေရးစနစ္ကို ေက်ာ္သြားႏိုင္ခဲ့တဲ့ Malware ကို Symantec က ေဖာ္ထုတ္ႏိုင္ခဲ့ပါတယ္။ လုံၿခဳံေရးစနစ္ကို ေက်ာ္လႊားႏိုင္မဲ့ တျခားနည္းလမ္း (၂) မ်ိဳးကိုလည္း Symantec က သ႐ုပ္ျပသြားဖို႔ ရွိပါေသးတယ္။

လက္ရွိအလုပ္လုပ္ေနတဲ့ Process စာရင္းကို ရႏိုင္မဲ့နည္းလမ္းေတြကို Github ပေရာဂ်က္ (Project) ေတြကေနၿပီး Android.Bankosy နဲ႔ Android.Cepsohord ဆိုတဲ့ Malware ႏွစ္ခုကို ေရးတဲ့သူေတြက ရသြားပါတယ္။ ဒီလို process စာရင္းရဖို႔က အေတာ္ေလး အေရးႀကီးပါတယ္။ ဒီစာရင္းသိမွပဲ လက္ရွိသုံးေနတဲ့ App ေတြကို ေစာင့္ၾကည့္ရင္း သုံးတဲ့သူက အခ်က္အလက္ေတြ ထည့္ေပးႏိုင္မည့္ Username ႏွင့္ Password ျဖည့္ေပးႏုိင္ေသာ ေနရာအတုေတြ ဖန္တီးႏိုင္မွာပါ။

အရင္ အန္ဒ႐ိုက္ဗားရွင္း ေလာ္လီေပါ့ (Android Version Lollipop) မွာတုန္းကေတာ့ မသမာသူေတြ အေနနဲ႔ getRunningTask() ဆိုတဲ့ API ကို သုံးၾကပါတယ္။ ေလာ္လီေပါ့ ေနာက္ပိုင္းမွာေတာ့ ဒီလုပ္ေဆာင္ခ်က္ကို ျဖဳတ္ပစ္ထားတာပါ။

ေက်ာ္လႊားႏိုင္တဲ့ နည္း (၂) နည္းထဲက ပထမတစ္နည္းကို Github ေပၚက Android Processes (https://www.github.com/jaredrummler/AndroidProceses) ဆိုတဲ့ ပေရာဂ်က္ကေန ေတြ႕တာပါ။ ဒီပေရာဂ်က္ဟာ မသမာမႈလုပ္ဖို႔ မဟုတ္ေပမဲ့ Malware ေရးသူေတြ ယူသြားအၿပီးမွာေတာ့ ဓားျပေတြေမြးတဲ့ေက်း ျဖစ္သြားေတာ့တာပါပဲ။

Rummler ရဲ႕နည္းလမ္းကေတာ့ /proc/ ဖိုင္ကို လွမ္းဖတ္တဲ့နည္းပါ။ ဒီဖိုင္ကိုဖတ္လိုက္တာနဲ႔ လက္ရွိအလုပ္လုပ္ေနတဲ့ Process ေတြအားလုံး ရလာပါေလေရာ။ Symantec ကေတာ့ အန္ဒ႐ိုက္ဗားရွင္းသစ္မွာ ဒါမ်ိဳးက အလုပ္ျဖစ္မွာ မဟုတ္ဘူးလို႔ ဆိုထားပါတယ္။

ေနာက္ထပ္တစ္နည္းကေတာ့ Android Overlay Malware Example (https://www.github.com/geeksonsecurity/android-overlay-malware-example) ဆိုတဲ့ ပေရာဂ်က္ကေန နည္းယူထားတာပါ။ သူကေတာ့ ျဖစ္ႏိုင္တဲ့ Malware နမူနာတစ္မ်ိဳးကို သက္ေသျပထားတဲ့ ပေရာဂ်က္ဆိုေတာ့ ေမြးစားဖို႔အေတာ္လြယ္တဲ့ ကိစၥတစ္ခုေပါ့။

ဒီနည္းမွာေတာ့ UsageStatsManager API ကို သုံးၿပီးေတာ့ လက္ရွိအလုပ္လုပ္ေနတဲ့ Process စာရင္းကို ယူတာပါ။ ဒီ API ဟာ app ေတြကိုသုံးတဲ့ အသုံးစာရင္းကို အေသးစိတ္ မွတ္တမ္းတင္တာမ်ိဳးပါ။ ဘယ္အခ်ိန္မွာ ဒီ app ကို ရပ္လိုက္တယ္ဆိုတာလည္း ပါတာေပါ့။ ဒါေၾကာင့္ အဲဒီ့အခ်က္အလက္ေတြနဲ႔ လက္ရွိအလုပ္လုပ္ေနတဲ့ Process ေတြကို ခန္႔မွန္းႏိုင္တာပါ။ Symantec ကေတာ့ အေပၚက Malware (၂) မ်ိဳးစလုံးဟာ ဒီ API ကို သုံ:ၿပီး လြန္ခဲ့တဲ့ (၂) စကၠန္႔ေလာက္က ဖြင့္သြားတဲ့ app ေတြကို လက္ရွိသုံးေနတယ္လို႔ ယူဆၿပီး အလုပ္လုပ္တယ္လို႔ ဆိုထားတယ္။

သုံးတဲ့သူေတြ ကံေကာင္းတဲ့တစ္ခ်က္ကေတာ့ ဒီ API ကေန Output ကို ယူႏိုင္ဖို႔ Root Access လိုတာပါ။ ဒီေတာ့ ကိုယ့္အန္ဒ႐ိုက္ဖုန္းကို Root မေဖာက္ထားဘူးဆိုရင္ စိတ္ေအးႏိုင္ပါတယ္။

ဒါေပမဲ့ ဒီအေျခအေနကို ေက်ာ္လႊားဖို႔လည္း Permission ေတာင္းတဲ့ Overlay တစ္ခု ဖန္တီးထားပါေသးတယ္။ သူက Chrome နာမည္၊ Chrome အိုင္ကြန္နဲ႔ပါ။ ဒီနည္းေတြအားလုံးက Geeks on Security ရဲ႕ Malware နမူနာကို တေသြမတိမ္း ယူထားတာပါ။ ဒါေပမဲ့ ဒီလို Overlay လုပ္တဲ့နည္းက တစ္ခ်ိဳ႕ထုတ္ကုန္ေတြမွာ အလုပ္မလုပ္ျပန္ပါဘူး။ ဥပမာေျပာရရင္ ဆမ္ေဆာင္းေပါ့ဗ်ာ ... (ဆမ္ေဆာင္းသုံးတဲ့သူေတြ cheer ...)

ဘယ္လိုပဲေျပာေျပာ အန္ဒ႐ိုက္ဆိုတာ အသုံးျပဳသူမ်ားတာျဖစ္လို႔၊ မသမာသူေတြ မ်က္စိက်တဲ့ ပလက္ေဖာင္း (Platform) တစ္ခုပါပဲ။ ဒီေတာ့ စိတ္ခ်ရတဲ့ မိုဘိုင္းအန္တီဗိုင္းရပ္ (Mobile Antivirus) တစ္ခုခု တင္မယ္ (အမ်ားစုက အခမဲ့ရပါတယ္ ..)၊ Google Play Store က app ေတြကိုပဲ သုံးမယ္ (ဂူးဂဲက Play Store ေပၚက app ေတြကို စကန္ဖတ္ၿပီးမွ တင္ခြင့္ေပးတာပါ ...)၊ app ေတြကို မဆိုင္တဲ့ Permission ေတြ မေပးဘူးဆိုရင္ သာမန္သုံးစြဲသူ တစ္ေယာက္အေနနဲ႔ အေတာ္စိတ္ခ်ရတဲ့ အေျခအေနျဖစ္ေၾကာင္း အသိေပးလိုက္ရပါတယ္။

5-9-2016
သတင္းစီစဥ္ တင္ဆက္သူ - Nub90d (MEHN Team)

အေက်ာ္အခြေတာ္တဲ့ Malware မ်ား အေက်ာ္အခြေတာ္တဲ့ Malware မ်ား Reviewed by Myanmar Ethical Hacking News on 8:47 PM Rating: 5

No comments:

Subscribe to: Post Comments ( Atom )
MEHN Team. Powered by Blogger.