AridSpy মোবাইল ম্যালওয়্যার

AridViper নামে পরিচিত সাইবার হুমকি গোষ্ঠীটি AridSpy নামে একটি স্পাইওয়্যার বৈকল্পিক বিতরণ করার জন্য ট্রোজানাইজড অ্যান্ড্রয়েড অ্যাপ্লিকেশন নিয়োগ করে মোবাইল গুপ্তচরবৃত্তি অপারেশনগুলির একটি সিরিজের পিছনে রয়েছে। এই হুমকিমূলক অ্যাপ্লিকেশনগুলি প্রতারণামূলক ওয়েবসাইটে হোস্ট করা হয় যা বৈধ মেসেজিং অ্যাপ, চাকরি অনুসন্ধান প্ল্যাটফর্ম এবং এমনকি একটি ফিলিস্তিনি সিভিল রেজিস্ট্রি অ্যাপ্লিকেশন হিসাবে জাহির করে৷ অনেক ক্ষেত্রে, বৈধ অ্যাপ্লিকেশনগুলি AridSpy এর খারাপ কোড একত্রিত করে আপস করা হয়।

AridViper মোবাইল ম্যালওয়্যার হুমকির একটি দীর্ঘ ইতিহাস আছে

Arid Viper, APT-C-23 , Desert Falcon, Grey Karkadann, Mantis এবং Two-tailed Scorpion নামেও পরিচিত, হামাসের সাথে যুক্ত বলে মনে করা হয়। 2017 সালে এর উত্থানের পর থেকে, এই গ্রুপটি তার ক্রিয়াকলাপের জন্য ধারাবাহিকভাবে মোবাইল ম্যালওয়্যার ব্যবহার করেছে। ঐতিহাসিকভাবে, অ্যারিড ভাইপার মধ্যপ্রাচ্যে সামরিক কর্মী, সাংবাদিক এবং ভিন্নমতাবলম্বীদের লক্ষ্যবস্তু করেছে। গোষ্ঠীটি সক্রিয় থাকে এবং মোবাইল ম্যালওয়্যার ডোমেনে হুমকি সৃষ্টি করে।

2022 সাল থেকে আরও সাম্প্রতিক কার্যক্রম চলমান রয়েছে, যার মধ্যে পাঁচটি পর্যন্ত স্বতন্ত্র প্রচারণা রয়েছে। বর্তমানে, এই প্রচারাভিযানের তিনটি সক্রিয় রয়েছে।

AridSpy হুমকি অভিনেতাদের দ্বারা তৈরি জাল মোবাইল অ্যাপ্লিকেশন মাধ্যমে ছড়িয়ে হয়

AridSpy-এর সর্বশেষ পুনরাবৃত্তির বিশ্লেষণ এটি একটি বহু-পর্যায়ের ট্রোজানে বিবর্তন প্রকাশ করে যা প্রাথমিক ট্রোজানাইজড অ্যাপ্লিকেশনের মাধ্যমে একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে অতিরিক্ত পেলোড ডাউনলোড করতে সক্ষম। আক্রমণটি প্রাথমিকভাবে প্যালেস্টাইন এবং মিশরের ব্যবহারকারীদের লক্ষ্য করে, আপস করা অ্যাপ্লিকেশনগুলির বিতরণ পয়েন্ট হিসাবে জাল ওয়েবসাইটগুলি ব্যবহার করে।

এই প্রতারণামূলক অ্যাপ্লিকেশনগুলি প্রায়শই LapizaChat, NortirChat এবং ReblyChat এর মতো নিরাপদ মেসেজিং পরিষেবা হিসাবে জাহির করে, স্টিলথচ্যাট, সেশন এবং ভক্সার ওয়াকি টকি মেসেঞ্জারের মতো বৈধ প্ল্যাটফর্মের অনুকরণ করে৷ উপরন্তু, অন্য একটি অ্যাপ ফিলিস্তিনি সিভিল রেজিস্ট্রি হিসাবে ছদ্মবেশী।

এই ওয়েবসাইটগুলির মধ্যে একটি, palcivilreg.com, 30 মে, 2023-এ নিবন্ধিত, 179 অনুসারী সহ একটি উত্সর্গীকৃত Facebook পৃষ্ঠার মাধ্যমে প্রচারিত হয়৷ এই ওয়েবসাইটে অফার করা অ্যাপটি গুগল প্লে স্টোরে পাওয়া অনুরূপ নামের অ্যাপের আদলে তৈরি।

যদিও palcivilreg.com-এ থ্রেটেনিং অ্যাপ্লিকেশানটি Google Play Store সংস্করণের সরাসরি অনুলিপি নয়, এটি ডেটা সংগ্রহের জন্য বৈধ অ্যাপের সার্ভার ব্যবহার করে। এটি নির্দেশ করে যে অ্যারিড ভাইপার বৈধ অ্যাপের কার্যকারিতা থেকে অনুপ্রেরণা নিয়েছিল কিন্তু প্রকৃত সার্ভারের সাথে ইন্টারঅ্যাক্ট করার জন্য নিজস্ব ক্লায়েন্ট স্তর তৈরি করেছে।

AridSpy মোবাইল ম্যালওয়্যারের অ্যাটাক চেইন

ইনস্টলেশনের পরে, দূষিত অ্যাপ্লিকেশনটি একটি পূর্বনির্ধারিত তালিকার উপর ভিত্তি করে ডিভাইসে নিরাপত্তা সফ্টওয়্যারের জন্য স্ক্যান করে। যদি কোনটি পাওয়া না যায়, এটি একটি প্রথম-পর্যায়ের পেলোড ডাউনলোড করতে এগিয়ে যায়, যা Google Play পরিষেবাগুলির জন্য একটি আপডেট হিসাবে মাশকারেড হয়৷

এই পেলোডটি স্বাধীনভাবে কাজ করে, একই ডিভাইসে ট্রোজানাইজড অ্যাপ্লিকেশনের উপস্থিতির প্রয়োজন হয় না। তাই, ল্যাপিজাচ্যাটের মতো প্রাথমিক ট্রোজানাইজড অ্যাপ্লিকেশন আনইনস্টল করা AridSpy-কে প্রভাবিত করে না। প্রথম-পর্যায়ের পেলোডের প্রাথমিক কাজ হল পরবর্তী-পর্যায়ের উপাদান ডাউনলোড করা, যেটিতে ক্ষতিকারক কার্যকারিতা রয়েছে এবং কমান্ড-এন্ড-কন্ট্রোল (C2) উদ্দেশ্যে ফায়ারবেস ডোমেনের সাথে যোগাযোগ করে।

ম্যালওয়্যারটি সংক্রামিত ডিভাইসগুলি থেকে ডেটা বের করার জন্য বিভিন্ন কমান্ড দিয়ে সজ্জিত এবং মোবাইল ডেটা প্ল্যানের সাথে সংযুক্ত থাকাকালীন এটি নিজেকে নিষ্ক্রিয় করতে বা ডেটা অপসারণ শুরু করতে পারে। ডেটা নিষ্কাশন হয় নির্দিষ্ট কমান্ড বা ট্রিগার ইভেন্টের মাধ্যমে ঘটে।

উদাহরণস্বরূপ, যখন ভিকটিম ফোনটি লক বা আনলক করে, তখন AridSpy সামনের ক্যামেরা ব্যবহার করে একটি ছবি ক্যাপচার করে এবং এক্সফিল্ট্রেশন C&C সার্ভারে পাঠায়। যাইহোক, শেষ ছবি তোলার 40 মিনিটের বেশি সময় থাকলে এবং ব্যাটারি লেভেল 15% এর উপরে হলেই ছবি তোলা হয়।