2015 August လအတြင္းမွာ Coolpad ဖုန္း သံုးတဲ့သူေတြဟာ Official update လုပ္ၿပီးတဲ့ေနာက္ သူတို႔ရဲ့ ဖုန္းေတြမွာ MonkeyTest နဲ႔ TimeService ဆိုတဲ့ ဗိုင္းရပ္စ္ ၀င္ေရာက္ေနတာကို ေတြ႕ရပါတယ္။ အဲဒီဗိုင္းရပ္စ္ ေတြဟာ Ghost Push ဆိုတဲ့ ဗိုင္းရပ္စ္ က အရင္၀င္ေရာက္ၿပီးမွ ေရာက္လာၾကတာ ျဖစ္ပါတယ္။ စက္တင္ဘာ (၁၈) ရက္ေန႔မွာဆိုရင္ ဗိုင္းရပ္စ္ ၀င္ေရာက္ကူးစက္ခံရတဲ့ ဖုန္းအေရအတြက္က တရက္ကို (၇)သိန္းအထိ ရွိလာခဲ့ပါတယ္။ Samsung, Coolpad, Moto အပါအ၀င္ ဖုန္းေမာ္ဒယ္ (၁)ေသာင္းေက်ာ္ ကူးစက္ခံခဲ့ရပါတယ္။
စူးစမ္းစစ္ေဆးခ်က္ေတြအရ ဒီဗိုင္းရပ္စ္ အဓိက ကူးစက္ခံရတာက အေမရိက၊ ရရွား၊ အေရွ႕ေတာင္အာရွ နဲ႔ တရုတ္ေတာင္ပိုင္း ေဒသေတြ ျဖစ္ပါတယ္။
Ghost Push ဟာ system-level access ကို ရယူပါတယ္။ ၿပီးရင္ ဖုန္းကို root လုပ္ပါတယ္။ MonkeyTest နဲ႔ TimeService ေတြကို ထပ္ၿပီး download ခ်ပါတယ္။ ဖုန္းဟာ အလြန္ေလးလံသြားမယ္၊ ဘက္ထရီ အျမန္ကုန္သြားမယ္၊ အင္တာနက္ network traffic ကို သိသိသာသာ ဆြဲသံုးမယ္။ အႏၱရာယ္ႀကီးတာက ဒီဗိုင္းရပ္စ္ေတြကို အလြယ္တကူ သတ္လို႔မရပဲ၊ Uninstall လုပ္ရင္လဲ ဖုန္းကို restart လုပ္လိုက္တာနဲ႔ ျပန္ေပၚလာပါတယ္။
အဲဒီေတာ့ Ghost Push ဘယ္လို အလုပ္လုပ္သလဲ၊ ဘယ္လို ရွင္းထုတ္ ရမလဲဆိုတာ ေလ့လာၾကည့္ၾကပါမယ္။
Ghost Push ဟာ ဖုန္းရဲ့ root access ကို ရယူတယ္။ အင္တာနက္ data ကို သံုးၿပီး ေၾကာ္ျငာေတြကို ဆြဲခ်ပါတယ္။ ဖုန္းသံုးသူမသိလိုက္ပဲ အျခား အသံုးမ၀င္တဲ့ application ေတြကိုလဲ download ခ်ပါတယ္။
Hacker ေတြက Ghost Push ဗိုင္းရပ္စ္ code ေတြကို နံမယ္ႀကီး application ေတြမွာ ညွပ္ထည့္ၿပီး original application ပံုစံနဲ႔ ျဖန္႔ေ၀ပါတယ္။ သံုးတဲ့သူေတြက အစစ္အမွန္ထင္ၿပီး install လုပ္လိုက္မိခ်ိန္မွာ ျပႆနာ တက္ေတာ့တာပါပဲ။ ဗိုင္းရပ္စ္ပိုး ထည့္သြင္းခံထားရတဲ့ application ေတြကို ေနာက္ဆက္တြဲ (၁) မွာ ေဖာ္ျပထားပါတယ္။
၁ ။ဗုိင္းရပ္၀င္ေရာက္ပုံကုိ အရင္ေလ့လာျခင္း။
၂။ root ရေအာင္လုပ္ျခင္။
Ghost Push ဟာ ဖုန္းေမာ္ဒယ္ နဲ႔ အျခား information ေတြကို http://massla.hdyfhpoi.com/gkview/info/801
ဆာဗာကုိ ေပးပုိ ့ပါတယ္ ။အဲဒီကမွ တဆင့္
http://down.upgamecdn.com/onekeysdk/tr_new/rt_0915_130.apk
ကေန root toolkit ကို download ခ်ပါတယ္။ ၿပီးတာနဲ႔ ဖုန္းကို တိတ္တိတ္ေလး root ေဖာက္ပါတယ္။ ေနာက္တဆင့္အေနနဲ႔ debuggerd ဖိုင္ကို အစားထိုးတယ္၊ install-recovery.sh ဖိုင္မွာ code ေတြ ျပင္တယ္၊ /system/xbin folder ထဲမွာ bin ဗိုင္းရပ္စ္ ဖိုင္ေတြ ဖန္တီးတယ္၊ ROM virus ကို install လုပ္ပါတယ္။ /system/priv-app, /system/app folder ေတြထဲမွာ "camera_update" လိုဖို္င္ေတြ ဖန္တီးပါတယ္။
camera_update ဟာ ဗိုင္းရပ္စ္ ဖိုင္ျဖစ္ၿပီး /system/priv-app folder ထဲမွာ ရွိေနပါတယ္။ အဲဒီ ဗိုင္းရပ္စ္ဟာ ဖုန္းရဲ့ ROM ထဲကို ၀င္ေနၿပီး uninstall လုပ္လို႔ မရေအာင္ လုပ္ထားပါတယ္။ ဒီ ဖိုင္ကေနပဲ ိ http://massla.hdyfhpoi.com/gkview/info/801
Monkey test- time serviceကုိ install လုပ္ယူပါတယ္။ ၿပီးေတာ့ အျခား ဘာမွန္းမသိတဲ့ application ေတြကိုလဲ install လုပ္ယူပါတယ္
(၂) မူရင္းဗိုင္းရပ္စ္ကို သတ္မရေအာင္ အကာအကြယ္ လုပ္ထားပံု
------------------------------------------------------------------
(၂-က) ROM ထဲက မူရင္း ဗိုင္းရပ္စ္ကို Bin က အကာအကြယ္ ေပးထားတယ္
စက္ကို ပါ၀ါစဖြင့္တာနဲ႔ install-recovery.sh နဲ႔ debuggerd ဖိုင္ေတြကို execute လုပ္ပါတယ္။ အဲဒီ ဖိုင္၂ခုကေန ဗိုင္းရပ္စ္ bin ဖိုင္ကို execute ဆက္လုပ္ပါတယ္။ ဒီဟာက ROM ထဲမွာ ရွိေနတဲ့ မူရင္းဗုိင္းရပ္စ္ကို အကာအကြယ္ေပးၿပီး ဆက္ run ေနေစတယ္၊ မူရင္းဗိုင္းရပ္စ္ ရဲ့ ေနာက္ဆံုး installation package ကို ရယူပါတယ္။
တကယ္လို႔ မူရင္းဗိုင္းရပ္စ္ကို uninstall လုပ္လုိက္ရင္ Bin ဖိုင္ကပဲ ဗိုင္းရပ္စ္ကို ထပ္ download ခ်ၿပီး ROM ထဲမွာ ျပန္ install လုပ္ပါတယ္။
စက္က run ေနခ်ိန္မွာ Bin ဖိုင္ဟာ "chattr +I" command ကို သံုးၿပီး သူ႔ကိုဖ်က္လို႔မရေအာင္ ကာကြယ္ထားတယ္။
(၂-ဂ) APK ဖိုင္ကို ဖ်က္လို႔မရေအာင္ လုပ္ထားတယ္
----------------------------------------------------
Ghost Push ကလဲ user ေတြ သူ႔ကို ဖ်က္လို႔မရေအာင္ "chattr +I" နဲ႔ ကာကြယ္ထားတယ္။
၃။ ဗိုင္းရပ္စ္ က ဘာေတြ လုပ္သလဲ
ဖုန္းသံုးတဲ့သူက အင္တာနက္ ဖြင့္လိုက္တာနဲ႔ ဗိုင္းရပ္စ္ ဖို္င္ေတြက ေၾကာ္ျငာေတြကို download ဆြဲခ်ၿပီး ဇြတ္ျပတယ္။ သူက wifi connection ကို ပိတ္ပစ္ၿပီး ဖုန္းရဲ့ data ကို သံုးတယ္
Application auto ေဒါင္းျခင္း
http://m.AEDXDRCB.COM/gcview/api/910 ကေန MonkeyTest နဲ႔ TimeService ကို download ခ်၊ install လုပ္ယူတယ္။ ဒီလို ေၾကာ္ျငာေတြ push လုပ္တာ၊ apk ေတြ push လုပ္တာေတြအတြက္ Ghost Push ဟာ SQLite Database ကို သံုးတာ ေတြ႔ရတယ္
System ရဲ ့ booster အသုံးခ်ျခင္း
Application ေတြကို download ခ်ႏိုင္ဖို႔၊ install လုပ္ႏိုင္ဖို႔အတြက္ Accessibility ထဲက Booster ကို ဖြင့္ခိုင္းတတ္ပါတယ္။
အျပည့္အစုံသိခ်င္ရင္
http://kohtike9.blogspot.com/2015/09/monkey-test-time-service-malware.html?spref=bl&m=1
ဒီမွာ ၀င္ဖတ္ေပးပါ ။
Admin .thuraaung
www.htoosan.blogspot.com.mm
No comments:
Post a Comment