DocSwap Mobile Malware

রাষ্ট্র-সংশ্লিষ্ট সংস্থাগুলি সামাজিক প্রকৌশল এবং ম্যালওয়্যার সরবরাহ কৌশলগুলিকে আরও উন্নত করে চলেছে, তাই মোবাইল হুমকির বিষয়ে সতর্ক থাকা অপরিহার্য। উত্তর কোরিয়ার গ্রুপ কিমসুকির উপর আরোপিত একটি সাম্প্রতিক প্রচারণা তুলে ধরেছে যে কীভাবে আক্রমণকারীরা ফিশিং, কিউআর কোড এবং ট্রোজানাইজড অ্যান্ড্রয়েড অ্যাপগুলিকে মিশিয়ে ভুক্তভোগীদের ডিভাইসগুলিকে ঝুঁকির মুখে ফেলছে।

কিমসুকির সর্বশেষ অ্যান্ড্রয়েড প্রচারণা উন্মোচিত হয়েছে

নিরাপত্তা গবেষকরা কিমসুকিকে ডকসোয়াপ নামে পরিচিত একটি নতুন অ্যান্ড্রয়েড ম্যালওয়্যার ভেরিয়েন্ট বিতরণকারী একটি নতুন অভিযানের সাথে যুক্ত করেছেন। এই প্রচারণাটি সুপরিচিত সিউল-ভিত্তিক লজিস্টিক কোম্পানি সিজে লজিস্টিকস, যা পূর্বে সিজে কোরিয়া এক্সপ্রেস নামে পরিচিত ছিল, তার ছদ্মবেশে ফিশিং ওয়েবসাইটগুলির অপব্যবহার করে। এই জাল পৃষ্ঠাগুলি বিশ্বস্ত দেখানোর জন্য এবং চালান-সম্পর্কিত বিজ্ঞপ্তি আশা করা ব্যবহারকারীদের লক্ষ্য করার জন্য ডিজাইন করা হয়েছে।

সংক্রমণের বাহক হিসেবে QR কোড এবং ভুয়া সতর্কতা

আক্রমণকারীরা ব্যবহারকারীদের ক্ষতিকারক অ্যাপ্লিকেশন ইনস্টল করতে প্রলুব্ধ করার জন্য QR কোড এবং প্রতারণামূলক বিজ্ঞপ্তি পপ-আপের উপর প্রচুর নির্ভর করে। ডেস্কটপ সিস্টেম থেকে অ্যাক্সেস করা হলে, ফিশিং পৃষ্ঠাটি একটি QR কোড প্রদর্শন করে যা দর্শককে একটি অ্যান্ড্রয়েড ডিভাইস দিয়ে এটি স্ক্যান করতে অনুরোধ করে। এই পুনঃনির্দেশ কৌশলটি ভুক্তভোগীকে একটি শিপমেন্ট ট্র্যাকিং বা সুরক্ষা যাচাইকরণ অ্যাপ হিসাবে উপস্থাপিত একটি জিনিস ইনস্টল করার দিকে ঠেলে দেয়।

প্রতারণা আরও বাড়ানোর জন্য, ফিশিং পৃষ্ঠাটি একটি ট্র্যাকিং পিএইচপি স্ক্রিপ্ট চালায় যা ব্রাউজারের ইউজার-এজেন্ট পরীক্ষা করে। এই চেকের ভিত্তিতে, ব্যবহারকারীদের একটি তথাকথিত সুরক্ষা মডিউল ইনস্টল করার জন্য অনুরোধ করা বার্তা দেখানো হয়, যা 'আন্তর্জাতিক শুল্ক সুরক্ষা নীতি' মেনে চলার জন্য বাধ্যতামূলক বলে মনে করা হয়। এই বিবরণটি ইনস্টলেশন অনুরোধকে ন্যায্যতা দেওয়ার এবং সন্দেহ কমানোর উদ্দেশ্যে তৈরি করা হয়েছে।

অ্যান্ড্রয়েড নিরাপত্তা সতর্কতা উপেক্ষা করা

যেহেতু অ্যান্ড্রয়েড অজানা উৎস থেকে ইনস্টলেশন সীমাবদ্ধ করে এবং উল্লেখযোগ্য সতর্কতা প্রদর্শন করে, হুমকিদাতারা মিথ্যা দাবি করে যে অ্যাপটি একটি অফিসিয়াল এবং নিরাপদ রিলিজ। এই সামাজিক প্রকৌশল কৌশলটি ভুক্তভোগীদের অন্তর্নির্মিত সুরক্ষা উপেক্ষা করতে এবং সতর্কতা সত্ত্বেও ইনস্টলেশন চালিয়ে যেতে চাপ দেয়।

ক্ষতিকারক APK ডেলিভারি এবং এক্সিকিউশন চেইন

যদি ভুক্তভোগী সম্মত হন, তাহলে SecDelivery.apk নামের একটি APK সার্ভার থেকে 27.102.137.181 নম্বরে ডাউনলোড করা হবে। চালু হয়ে গেলে, এই প্যাকেজটি তার নিজস্ব রিসোর্সের মধ্যে এমবেড করা একটি এনক্রিপ্টেড APK ডিক্রিপ্ট করে। পেলোড সক্রিয় করার আগে, এটি যাচাই করে যে এটি বহিরাগত স্টোরেজ পরিচালনা, ইন্টারনেট অ্যাক্সেস এবং অতিরিক্ত প্যাকেজ ইনস্টল করার অনুমতি পেয়েছে।

অনুমতি নিশ্চিত হওয়ার পর, ম্যালওয়্যারটি com.delivery.security.MainService নামে চিহ্নিত একটি পরিষেবা নিবন্ধন করে এবং তাৎক্ষণিকভাবে একটি OTP-ভিত্তিক পরিচয় যাচাইয়ের ছদ্মবেশে একটি কার্যকলাপ শুরু করে। এই জাল প্রমাণীকরণ স্ক্রিনটি একটি ডেলিভারি নম্বরের জন্য অনুরোধ করে, যা APK-তে 742938128549 হিসাবে হার্ড-কোড করা হয় এবং সম্ভবত প্রাথমিক ফিশিং পদক্ষেপের সময় ভুক্তভোগীদের কাছে সরবরাহ করা হয়।

প্রতারণামূলক প্রমাণীকরণ এবং নীরব আপস

ডেলিভারি নম্বর প্রবেশ করানোর পর, অ্যাপটি একটি র‍্যান্ডম ছয়-সংখ্যার যাচাইকরণ কোড তৈরি করে এবং এটি একটি বিজ্ঞপ্তি হিসাবে প্রদর্শন করে। এরপর ব্যবহারকারীকে এই কোডটি ইনপুট করতে বলা হয়, যা একটি বৈধ সুরক্ষা প্রক্রিয়ার ভ্রমকে আরও শক্তিশালী করে। একবার সম্পন্ন হলে, অ্যাপটি একটি ওয়েবভিউ খুলবে যা আসল সিজে লজিস্টিকস ট্র্যাকিং পৃষ্ঠার দিকে নির্দেশ করবে, যার ফলে কার্যকলাপটি খাঁটি দেখাবে।

ইতিমধ্যে, ক্ষতিকারক উপাদানটি নীরবে 50005 পোর্টে 27.102.137.181 নম্বরে আক্রমণকারী-নিয়ন্ত্রিত কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে সংযোগ স্থাপন করে। এই বিন্দু থেকে, নতুন মোতায়েন করা DocSwap ভেরিয়েন্টটি একটি সম্পূর্ণ বৈশিষ্ট্যযুক্ত রিমোট অ্যাক্সেস ট্রোজান হিসাবে কাজ করে।

দূরবর্তী অ্যাক্সেস ক্ষমতা এবং ডেটা চুরি

এই ম্যালওয়্যারটি তার অপারেটরদের কাছ থেকে কয়েক ডজন কমান্ড গ্রহণ করতে সক্ষম, যা সংক্রামিত ডিভাইসের উপর ব্যাপক নজরদারি এবং নিয়ন্ত্রণ সক্ষম করে। এর কার্যকারিতার মধ্যে রয়েছে ব্যবহারকারীর ইনপুট লগ করা, যোগাযোগ পর্যবেক্ষণ করা এবং সংবেদনশীল ব্যক্তিগত তথ্য বের করার ক্ষমতা, যা ক্ষতিগ্রস্থ স্মার্টফোনটিকে একটি শক্তিশালী গুপ্তচরবৃত্তির হাতিয়ারে পরিণত করে।

ট্রোজানাইজড অ্যাপস এবং সম্প্রসারিত বিতরণ

ভুয়া ডেলিভারি অ্যাপের বাইরে, গবেষকরা P2B Airdrop অ্যাপ্লিকেশন এবং একটি বৈধ VPN পণ্য, BYCOM VPN এর একটি আপোসকৃত সংস্করণের ছদ্মবেশে আরও ক্ষতিকারক নমুনা শনাক্ত করেছেন। আসল VPN অ্যাপটি Google Play তে পাওয়া যায় এবং ভারতীয় কোম্পানি Bycom Solutions দ্বারা তৈরি করা হয়েছে। বিশ্লেষণে দেখা যায় যে Kimsuky বৈধ APK-তে ক্ষতিকারক কোড প্রবেশ করান এবং প্রচারণায় ব্যবহারের জন্য এটি পুনরায় প্যাকেজ করেন।

ফিশিং পরিকাঠামো এবং শংসাপত্র সংগ্রহ

সহায়ক অবকাঠামোর তদন্তে দেখা গেছে যে নেভার এবং কাকাও-এর মতো জনপ্রিয় দক্ষিণ কোরিয়ান প্ল্যাটফর্মের অনুকরণে ফিশিং ওয়েবসাইটগুলি তৈরি করা হয়েছে। এই সাইটগুলি ব্যবহারকারীর শংসাপত্র চুরি করার জন্য এবং পূর্ববর্তী কিমসুকি অপারেশনগুলির সাথে ওভারল্যাপ দেখানোর জন্য ডিজাইন করা হয়েছে যা বিশেষভাবে নেভার ব্যবহারকারীদের লক্ষ্য করে তৈরি করা হয়েছিল, যা প্রতিষ্ঠিত অবকাঠামোর পুনঃব্যবহার এবং সম্প্রসারণের পরামর্শ দেয়।

বিকশিত ম্যালওয়্যার ডিজাইন

যদিও মোতায়েন করা ম্যালওয়্যারটি এখনও পূর্ববর্তী কিমসুকি টুলের মতো একটি RAT পরিষেবা চালু করে, এটি উল্লেখযোগ্য বিবর্তন প্রদর্শন করে। এমবেডেড APK-এর জন্য একটি নতুন নেটিভ ডিক্রিপশন ফাংশনের ব্যবহার এবং একাধিক ডিকয় আচরণ অন্তর্ভুক্ত করা চলমান উন্নয়ন এবং কার্যকারিতা বৃদ্ধির সাথে সাথে সনাক্তকরণ এড়াতে প্রচেষ্টার ইঙ্গিত দেয়।