গিরগিটি মোবাইল ম্যালওয়্যার
অ্যান্ড্রয়েড ট্রোজানের একটি নতুন রূপ যাকে 'গিরগিটি' বলা হয়েছে, 2023 সালের শুরু থেকে অস্ট্রেলিয়া এবং পোল্যান্ড উভয়ের ব্যবহারকারীদের লক্ষ্য করে শনাক্ত করা হয়েছে। এই বিশেষ ম্যালওয়্যারটি অস্ট্রেলিয়ান সরকারি সংস্থা CoinSpot ক্রিপ্টোকারেন্সি এক্সচেঞ্জের মতো বৈধ সত্তার অনুকরণ করার জন্য ডিজাইন করা হয়েছে। এবং IKO ব্যাংক।
সাইবারসিকিউরিটি ফার্ম সাইবলের মতে, এই মোবাইল ম্যালওয়্যারের বিতরণ বিভিন্ন চ্যানেলের মাধ্যমে ঘটেছে বলে মনে করা হচ্ছে। এর মধ্যে রয়েছে আপস করা ওয়েবসাইট, জনপ্রিয় যোগাযোগ প্ল্যাটফর্ম ডিসকর্ডের সংযুক্তি এবং বিটবাকেট দ্বারা প্রদত্ত হোস্টিং পরিষেবা। এছাড়াও, চ্যামেলিয়ন অ্যান্ড্রয়েড ট্রোজান ক্ষতিকারক ক্ষমতার বিস্তৃত বর্ণালী নিয়ে গর্ব করে, যার মধ্যে রয়েছে ওভারলে ইনজেকশন এবং কীলগিংয়ের মাধ্যমে ব্যবহারকারীর শংসাপত্র চুরি, সেইসাথে আপোসকৃত ডিভাইস থেকে কুকিজ এবং এসএমএস বার্তা সংগ্রহ করা।
সুচিপত্র
গিরগিটি বিভিন্ন অ্যান্টি-ডিটেকশন চেক সম্পাদন করে
লঙ্ঘন হওয়া অ্যান্ড্রয়েড ডিভাইসে কার্যকর করার পরে, ক্যামেলিয়ন মোবাইল ম্যালওয়্যার নিরাপত্তা সফ্টওয়্যার দ্বারা সনাক্তকরণ এড়াতে বিভিন্ন কৌশল নিয়োগ করে। এই কৌশলগুলির মধ্যে ডিভাইসটি রুট করা হয়েছে কিনা এবং ডিবাগিং সক্রিয় করা হয়েছে কিনা তা নির্ধারণ করতে অ্যান্টি-ইমুলেশন চেক অন্তর্ভুক্ত। যদি হুমকি সনাক্ত করে যে এটি একটি বিশ্লেষকের পরিবেশে চলছে, তাহলে সনাক্তকরণ এড়াতে এটি সম্পূর্ণরূপে সংক্রমণ প্রক্রিয়া বাতিল করতে পারে।
যদি এটি নির্ধারণ করে যে পরিবেশটি নিরাপদ, গিরগিটি তার দূষিত প্রোগ্রামিং নিয়ে এগিয়ে যায় এবং শিকারকে অ্যাক্সেসিবিলিটি পরিষেবা ব্যবহার করার অনুমতি দেওয়ার জন্য অনুরোধ করে। এই অনুমতিটি তখন নিজেকে অতিরিক্ত সুযোগ-সুবিধা প্রদান, Google Play Protect বন্ধ করা এবং শিকারকে ট্রোজান আনইনস্টল করা থেকে আটকানোর হুমকি দিয়ে কাজে লাগানো হয়।
চ্যামেলিয়ন মোবাইল ম্যালওয়্যারের মাধ্যমে আক্রমণকারীরা বিভিন্ন হুমকিমূলক কার্যকলাপ সম্পাদন করতে পারে
কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভারের সাথে একটি সংযোগ স্থাপন করার পরে, ক্যামেলিয়ন ম্যালওয়্যার ডিভাইসের সংস্করণ, মডেল, রুট স্থিতি, দেশ এবং সুনির্দিষ্ট অবস্থান পাঠানোর মাধ্যমে যোগাযোগ শুরু করে। এটি নতুন সংক্রমণের প্রোফাইল এবং সেই অনুযায়ী এর ক্রিয়াকলাপগুলিকে সাজানোর একটি প্রচেষ্টা বলে মনে করা হয়।
পরবর্তীকালে, ম্যালওয়্যার ছদ্মবেশী সত্তার উপর নির্ভর করে, এটি একটি ওয়েবভিউতে একটি বৈধ URL খোলে এবং পটভূমিতে ক্ষতিকারক মডিউলগুলি লোড করা শুরু করে৷ এই মডিউলগুলির মধ্যে রয়েছে একটি কুকি স্টিলার, একটি কীলগার, একটি ফিশিং পেজ ইনজেক্টর, একটি লক স্ক্রিন পিন/প্যাটার্ন গ্র্যাবার এবং একটি এসএমএস চুরিকারী৷ পরবর্তীটি বিশেষভাবে সম্পর্কিত কারণ এটি এক-কালীন পাসওয়ার্ড বের করতে পারে, যার ফলে আক্রমণকারীদের দ্বি-ফ্যাক্টর প্রমাণীকরণ সুরক্ষাগুলিকে বাইপাস করার অনুমতি দেয়।
এর ডেটা-সংগ্রহ কার্যক্রম পরিচালনা করতে, ক্যামেলিয়ন ম্যালওয়্যার অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহারের উপর নির্ভর করে। এটি ম্যালওয়্যারকে স্ক্রীনের বিষয়বস্তু নিরীক্ষণ করার, নির্দিষ্ট ইভেন্টগুলি সনাক্ত করার, ইন্টারফেস উপাদানগুলিকে সংশোধন করার এবং প্রয়োজনীয় API কলগুলি পাঠানোর ক্ষমতা দেয়৷
ক্যামেলিয়ন মোবাইল ম্যালওয়্যার সংক্রামিত ডিভাইসগুলিতে অধ্যবসায় স্থাপন করে
এর ডেটা-সংগ্রহ কার্যক্রম ছাড়াও, ক্যামেলিয়ন ম্যালওয়্যার অনিরাপদ অ্যাপ্লিকেশন অপসারণে বাধা দেওয়ার জন্য অ্যাক্সেসিবিলিটি পরিষেবাগুলিকেও ব্যবহার করে৷ এটি শিকারের দ্বারা আনইনস্টল করার প্রচেষ্টা নিরীক্ষণ এবং ম্যালওয়্যারের সাথে সম্পর্কিত ভাগ করা পছন্দের ভেরিয়েবলগুলি মুছে ফেলার মাধ্যমে এটি সম্পন্ন করে। এটি এমনভাবে দেখায় যে অ্যাপটি আনইনস্টল করা হয়েছে যখন, আসলে, এটি ডিভাইসে থাকে।
তদুপরি, সাইবারসিকিউরিটি ফার্ম সাইবল ক্যামেলিয়নের মধ্যে এমন কোড আবিষ্কার করেছে যা এটি রানটাইম থাকাকালীন একটি পেলোড ডাউনলোড করতে এবং এটিকে '.jar' ফাইল হিসাবে হোস্ট ডিভাইসে সংরক্ষণ করতে দেয়। এই ফাইলটি পরবর্তীতে DexClassLoader এর মাধ্যমে কার্যকর করার উদ্দেশ্যে করা হয়েছে। যাইহোক, এই বৈশিষ্ট্যটি বর্তমানে ম্যালওয়্যার দ্বারা ব্যবহার করা হচ্ছে বলে মনে হচ্ছে না।
