বিটব্যাঙ্কার ব্যাংকিং ট্রোজান
বিটব্যাঙ্কার হল একটি অত্যাধুনিক অ্যান্ড্রয়েড ম্যালওয়্যার যা গুগল প্লে স্টোরের অনুকরণে তৈরি প্রতারণামূলক ওয়েবসাইটগুলির মাধ্যমে বিতরণ করা হয়। এই ক্ষতিকারক প্রচারণা ব্যবহারকারীদের এমন অ্যাপ্লিকেশন ডাউনলোড করতে প্রতারিত করে যা বৈধ বলে মনে হয় কিন্তু প্রকৃতপক্ষে ক্রিপ্টোকারেন্সি মাইনিং ক্ষমতা সহ একটি শক্তিশালী ব্যাংকিং ট্রোজান সরবরাহ করে। একবার ইনস্টল হয়ে গেলে, ম্যালওয়্যারটি সংক্রামিত ডিভাইসটি হাইজ্যাক করতে পারে, ব্যবহারকারীর ইন্টারফেসগুলি হেরফের করতে পারে এবং অননুমোদিত আর্থিক লেনদেন করতে পারে। হুমকি সনাক্ত হলে তাৎক্ষণিকভাবে অপসারণ করা অপরিহার্য, কারণ ক্রমাগত অপারেশনের ফলে আর্থিক ক্ষতি, গোপনীয়তা লঙ্ঘন এবং দীর্ঘমেয়াদী ডিভাইসের ক্ষতি হতে পারে।
সুচিপত্র
ফাইললেস এক্সিকিউশন এবং অ্যান্টি-অ্যানালাইসিস কৌশল
কার্যকর করার পর, বিটব্যাঙ্কার ডিভাইসের আইপি ঠিকানা, ডিভাইসের ধরণ, ভিপিএন ব্যবহারের অবস্থা এবং সম্পর্কিত সংযোগের বিশদ সহ প্রয়োজনীয় নেটওয়ার্ক তথ্য সংগ্রহ করে শুরু করে। ডিভাইসের স্টোরেজে এর ক্ষতিকারক উপাদানগুলিকে ফাইল হিসাবে সংরক্ষণ করার পরিবর্তে, ম্যালওয়্যারটি সরাসরি মেমোরিতে তার কোড লোড করে। এই ফাইলবিহীন কার্যকরকরণ কৌশলটি ঐতিহ্যবাহী মোবাইল সুরক্ষা সরঞ্জাম দ্বারা সনাক্তকরণের সম্ভাবনা উল্লেখযোগ্যভাবে হ্রাস করে।
বিশ্লেষণ এড়াতে, বিটব্যাঙ্কার পরীক্ষা করে যে এটি কোনও পরীক্ষামূলক বা গবেষণা পরিবেশের মধ্যে চলছে কিনা, যেমন একটি এমুলেটর বা স্যান্ডবক্স। যদি এই ধরনের পরিস্থিতি সনাক্ত করা হয়, তাহলে ম্যালওয়্যারটি তাৎক্ষণিকভাবে তার কার্যকারিতা বন্ধ করে দেয়। এই প্রতিরক্ষামূলক ব্যবস্থা সাইবার নিরাপত্তা গবেষক এবং স্বয়ংক্রিয় সিস্টেমগুলিকে এর আচরণ বিশ্লেষণ করা থেকে বিরত রাখতে সাহায্য করে।
ভুয়া গুগল প্লে স্টোর পেজের মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিং
পরিবেশগত পরীক্ষায় উত্তীর্ণ হওয়ার পর, বিটব্যাঙ্কার একটি নকল ইন্টারফেস প্রদর্শন করে যা 'INSS Reembolso' লেবেলযুক্ত একটি অ্যাপ্লিকেশনের জন্য গুগল প্লে স্টোর পৃষ্ঠার সাথে সাদৃশ্যপূর্ণ, মিথ্যা দাবি করে যে একটি সফ্টওয়্যার আপডেট প্রয়োজন। যখন ব্যবহারকারী 'আপডেট' বিকল্পটি নির্বাচন করেন, তখন ম্যালওয়্যারটি অ্যাপ্লিকেশন ইনস্টল করার অনুমতি চায় এবং লুকানো ক্ষতিকারক উপাদানগুলি ডাউনলোড করে।
বৈধ গুগল প্লে অবকাঠামোর উপর নির্ভর করার পরিবর্তে, ম্যালওয়্যারটি উন্নত ইনস্টলেশন অনুমতির অপব্যবহার করে সরাসরি এই উপাদানগুলি ইনস্টল করে। স্থায়িত্ব বজায় রাখার জন্য, ম্যালওয়্যারটি একটি প্রতারণামূলক সিস্টেম আপডেট বিজ্ঞপ্তি তৈরি করে এবং একটি ফোরগ্রাউন্ড পরিষেবা চালায় যা নীরবে মিডিয়া চালায়, অপারেটিং সিস্টেমকে ক্ষতিকারক প্রক্রিয়াটি বন্ধ করতে বাধা দেয়।
ভিকটিম ডিভাইসে ক্রিপ্টোকারেন্সি মাইনিং
বিটব্যাঙ্কারের লুকানো পেলোডগুলির মধ্যে একটি হল একটি ক্রিপ্টোকারেন্সি মাইনার যা ডাউনলোড করা ফাইলের মধ্যে এমবেড করা থাকে। এই উপাদানটি XMRig এর একটি পরিবর্তিত সংস্করণ যা আক্রমণকারীদের পক্ষে ক্রিপ্টোকারেন্সি মাইন করার জন্য সংক্রামিত ডিভাইসের CPU রিসোর্সগুলিকে কাজে লাগানোর জন্য ডিজাইন করা হয়েছে।
এই ম্যালওয়্যারটি ব্যাটারি লেভেল, ডিভাইসের তাপমাত্রা এবং ব্যবহারকারীর কার্যকলাপের মতো সিস্টেম প্যারামিটারগুলি পর্যবেক্ষণ করে বুদ্ধিমত্তার সাথে মাইনিং কার্যকলাপ পরিচালনা করে। এই অবস্থার উপর ভিত্তি করে, মাইনার সন্দেহ কমাতে এবং সংক্রমণ দীর্ঘায়িত করতে স্বয়ংক্রিয়ভাবে তার কার্যক্রম শুরু বা বিরতি দিতে পারে।
ব্যাংকিং ট্রোজান এবং ক্রিপ্টোকারেন্সি চুরির প্রক্রিয়া
ক্রিপ্টোমাইনিং ক্ষমতার পাশাপাশি, বিটব্যাঙ্কার একটি ব্যাংকিং ট্রোজান মোতায়েন করে যা অ্যাক্সেসিবিলিটি অনুমতি পাওয়ার চেষ্টা করে। এই অনুমতিগুলি প্রদানের ফলে আক্রমণকারীরা ডিভাইসের ইন্টারফেস নিয়ন্ত্রণ করতে এবং ব্যবহারকারীর মিথস্ক্রিয়া পর্যবেক্ষণ করতে পারে।
এই ম্যালওয়্যারটি সক্রিয়ভাবে ট্র্যাক করে কোন অ্যাপ্লিকেশনগুলি খোলা হচ্ছে এবং বিশেষ করে Binance এবং Trust Wallet এর মতো ক্রিপ্টোকারেন্সি প্ল্যাটফর্মগুলিকে লক্ষ্য করে, বিশেষ করে USDT লেনদেনের উপর। যখন কোনও ভুক্তভোগী কোনও স্থানান্তর শুরু করেন, তখন BeatBanker বৈধ লেনদেন ইন্টারফেসকে একটি প্রতারণামূলক স্ক্রিন দিয়ে আচ্ছাদিত করে। এই প্রক্রিয়া চলাকালীন, ম্যালওয়্যারটি নীরবে আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত একটি ঠিকানা দিয়ে উদ্দেশ্যপ্রাপ্ত প্রাপকের ঠিকানা প্রতিস্থাপন করে, যার ফলে ভুক্তভোগীর অজান্তেই তহবিল পুনঃনির্দেশিত হয়।
ব্যাংকিং মডিউলটি বেশ কয়েকটি সাধারণভাবে ব্যবহৃত মোবাইল ব্রাউজারের উপস্থিতি মূল্যায়ন করে এবং ব্রাউজিং তথ্য সংগ্রহ করে। এটি ডিফল্ট ব্রাউজারের মধ্যে সংরক্ষিত লিঙ্কগুলিকে এন্ট্রি যোগ, সম্পাদনা, মুছে ফেলা বা তালিকাভুক্ত করে ম্যানিপুলেট করতে পারে এবং এটি আক্রমণকারী-সরবরাহকৃত URL গুলি খুলতে পারে।
কমান্ড-ও-কন্ট্রোল ক্ষমতা এবং ডিভাইস ম্যানিপুলেশন
বিটব্যাঙ্কার একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে যোগাযোগ করে, যার ফলে আক্রমণকারীরা দূরবর্তীভাবে সংক্রামিত ডিভাইসগুলি পরিচালনা করতে এবং কমান্ড ইস্যু করতে পারে। এই পরিকাঠামোর মাধ্যমে, ম্যালওয়্যারটি জাল সিস্টেম আপডেট প্রদর্শন, ডিভাইসের স্ক্রিন লক করা, ক্লিপবোর্ডের বিষয়বস্তু বের করা এবং হুমকিদাতাদের কাছে অডিও রেকর্ডিং প্রেরণ সহ বিস্তৃত ক্ষতিকারক কার্যকলাপ সম্পাদন করতে পারে।
অতিরিক্ত ক্ষমতার মধ্যে রয়েছে এসএমএস বার্তা পাঠানো, ব্রাউজারে আক্রমণকারী-নিয়ন্ত্রিত লিঙ্ক খোলা, সঞ্চিত শংসাপত্র আপডেট করা এবং ডিভাইসে সঞ্চিত ফাইল তালিকাভুক্ত করার ক্ষমতা। ম্যালওয়্যারটি ধ্বংসাত্মক কাজও করতে পারে যেমন ফাইল মুছে ফেলা, ফ্যাক্টরি রিসেট শুরু করা, অথবা কোনও অপারেশন সম্পন্ন করার পরে চিহ্নগুলি মুছে ফেলার জন্য নিজেকে আনইনস্টল করা।
নজরদারি এবং ডেটা এক্সফিল্ট্রেশন বৈশিষ্ট্য
আর্থিক চুরির বাইরেও, বিটব্যাঙ্কার একটি বিস্তৃত নজরদারি সরঞ্জাম হিসেবে কাজ করে। এটি কীস্ট্রোক রেকর্ড করতে, স্ক্রিনে প্রদর্শিত টেক্সট বের করতে, স্ক্রিনশট ক্যাপচার করতে এবং রিয়েল টাইমে ডিভাইসের স্ক্রিন স্ট্রিম করতে সক্ষম। চলমান অ্যাপ্লিকেশনগুলির ক্রমাগত পর্যবেক্ষণ আক্রমণকারীদের ব্যবহারকারীর আচরণ পর্যবেক্ষণ করতে এবং সংবেদনশীল তথ্য সংগ্রহ করতে সহায়তা করে।
ম্যালওয়্যারটিতে অতিরিক্ত ডিভাইস-নিয়ন্ত্রণ ব্যবস্থাও রয়েছে, যার মধ্যে রয়েছে অ্যাপ্লিকেশন পর্যবেক্ষণ, একটি অন্তর্নির্মিত ফায়ারওয়াল যা নির্বাচিত অ্যাপগুলিকে ব্লক করতে বা অনুমতি দিতে পারে, ক্রমাগত বিজ্ঞপ্তি তৈরি করতে পারে এবং VPN সংযোগ পরিচালনা করার ক্ষমতা।
অনুমতির অপব্যবহার এবং স্থায়িত্বের প্রক্রিয়া
বিটব্যাঙ্কার উচ্চ-ঝুঁকিপূর্ণ অ্যান্ড্রয়েড অনুমতিগুলির উপর ব্যাপকভাবে নির্ভর করে যা ডিভাইসের উপর তার নিয়ন্ত্রণ উল্লেখযোগ্যভাবে বৃদ্ধি করে। এই অনুমতিগুলি ম্যালওয়্যারকে স্থায়িত্ব বজায় রাখতে, ক্রিয়া স্বয়ংক্রিয় করতে এবং ব্যবহারকারীর সচেতনতা ছাড়াই কমান্ড কার্যকর করতে দেয়।
এই অনুমতিগুলির দ্বারা সক্রিয় মূল ক্ষমতাগুলির মধ্যে রয়েছে:
- অ্যাক্সেসিবিলিটি অ্যাক্সেস, স্বয়ংক্রিয় ট্যাপ, সোয়াইপ এবং ইন্টারফেস ম্যানিপুলেশনের অনুমতি দেয়
- ওভারলে অনুমতি যা বৈধ অ্যাপ্লিকেশনের উপর নকল স্ক্রিন দেখাতে সক্ষম করে
- অজানা উৎস থেকে অ্যাপ্লিকেশন ইনস্টল করার অনুমতি, অতিরিক্ত ক্ষতিকারক উপাদানগুলির নীরব ইনস্টলেশন সক্ষম করে।
- লিঙ্ক খোলার, USSD কোড কার্যকর করার এবং আরও ম্যালওয়্যার প্যাকেজ স্থাপনের ক্ষমতা
এই সুবিধাগুলি সংক্রামিত ডিভাইসটিকে একটি দূরবর্তীভাবে নিয়ন্ত্রিত প্ল্যাটফর্মে রূপান্তরিত করে যা জটিল ক্ষতিকারক ক্রিয়াকলাপ সম্পাদন করতে সক্ষম।
স্টারলিংক অ্যাপ্লিকেশনের ছদ্মবেশে উদীয়মান রূপ
নিরাপত্তা গবেষকরা বিটব্যাঙ্কারের একটি নতুন রূপ শনাক্ত করেছেন যা অ্যান্ড্রয়েড ব্যবহারকারীদের লক্ষ্য করে একটি নকল স্টারলিংক অ্যাপ্লিকেশন হিসেবে ছদ্মবেশ ধারণ করে। পূর্ববর্তী সংস্করণগুলির মতো, এই রূপটি ঐতিহ্যবাহী ব্যাংকিং ট্রোজান উপাদান ইনস্টল করে না।
পরিবর্তে, এটি BTMOB রিমোট অ্যাডমিনিস্ট্রেশন ট্রোজান (RAT) মোতায়েন করে। BTMOB আক্রমণকারীদের ক্ষতিগ্রস্ত ডিভাইসগুলিতে সম্পূর্ণ দূরবর্তী অ্যাক্সেস দেয় এবং এটি ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (MaaS) হিসাবে বিতরণ করা হয়, যার ফলে সাইবার অপরাধীরা তাদের নিজস্ব ম্যালওয়্যার অবকাঠামো তৈরি না করেই টুলটি কিনতে এবং মোতায়েন করতে সক্ষম হয়।
সংক্রমণ ভেক্টর এবং কার্যক্ষম প্রভাব
বিটব্যাঙ্কারের সংক্রমণ সাধারণত একটি ফিশিং প্রচারণার মাধ্যমে শুরু হয় যা ভুক্তভোগীদের অফিসিয়াল গুগল প্লে স্টোরের মতো ডিজাইন করা প্রতারণামূলক ওয়েবসাইটগুলিতে নির্দেশ করে। ব্যবহারকারীদের 'INSS Reembolso' বা অনুরূপ জাল ইউটিলিটি অ্যাপের মতো সরকার-সম্পর্কিত পরিষেবা হিসাবে পরিচয় দিয়ে ক্ষতিকারক অ্যাপ্লিকেশন ডাউনলোড করতে প্ররোচিত করা হয়।
ভুক্তভোগী যখন জাল অ্যাপ্লিকেশনটি ইনস্টল করেন তখন একটি ডিভাইস ঝুঁকির মুখে পড়ে। সক্রিয়করণের পরে, বিটব্যাঙ্কার ক্রিপ্টোকারেন্সি মাইনার সহ অতিরিক্ত উপাদানগুলি পুনরুদ্ধার করে এবং ডিভাইসে স্থায়ী অ্যাক্সেস স্থাপন করে।
ম্যালওয়্যারের সম্মিলিত ক্ষমতা আক্রমণকারীদের ক্রিপ্টোকারেন্সি মাইনিং, আর্থিক তথ্য চুরি, লেনদেনে হেরফের এবং সংক্রামিত ডিভাইসের উপর রিমোট কন্ট্রোল বজায় রাখার অনুমতি দেয়। কিছু ভেরিয়েন্ট BTMOB এর মতো অতিরিক্ত ম্যালওয়্যারও স্থাপন করে, যা প্রতিপক্ষকে ক্ষতিগ্রস্ত সিস্টেমে দীর্ঘস্থায়ী এবং অবাধ অ্যাক্সেস প্রদান করে।
