FireScam Mobile Malware

FireScam নামে একটি নতুন চিহ্নিত অ্যান্ড্রয়েড হুমকি উন্মোচিত হয়েছে। এটি টেলিগ্রাম মেসেজিং অ্যাপের একটি উন্নত সংস্করণ হিসেবে নিজেকে ছদ্মবেশ ধারণ করে। এই প্রতারণামূলক কৌশলটি হুমকি সফ্টওয়্যারটিকে ব্যবহারকারীর সংবেদনশীল ডেটা বের করতে এবং আপোসকৃত ডিভাইসগুলিতে অবিরাম দূরবর্তী অ্যাক্সেস বজায় রাখতে সক্ষম করে।

একটি চতুর ছদ্মবেশ: জাল টেলিগ্রাম প্রিমিয়াম অ্যাপ্লিকেশন

ফায়ারস্ক্যাম একটি জাল 'টেলিগ্রাম প্রিমিয়াম' অ্যাপ্লিকেশনের আড়ালে বিতরণ করা হয়। এটি GitHub.io-তে হোস্ট করা একটি ফিশিং ওয়েবসাইটের মাধ্যমে ছড়িয়ে পড়ে, যা মিথ্যাভাবে নিজেকে RuStore- রাশিয়ার একটি সুপরিচিত অ্যাপ মার্কেটপ্লেস হিসেবে উপস্থাপন করে। নিরাপত্তা বিশ্লেষকরা এই মোবাইল হুমকিকে জটিল এবং অত্যন্ত অভিযোজনযোগ্য বলে বর্ণনা করেছেন। একবার ইনস্টল করা হলে, এটি একটি বহু-পর্যায়ের সংক্রমণ প্রক্রিয়া অনুসরণ করে, একটি ড্রপার APK দিয়ে শুরু হয় যা ব্যাপক নজরদারি সহজতর করে।

প্রতারণামূলক সাইট, rustore-apk.github.io, RuStore-এর ইন্টারফেসকে নকল করে এবং ব্যবহারকারীদের 'GetAppsRu.apk' নামক একটি ড্রপার APK ফাইল ডাউনলোড করার জন্য প্রতারণা করার জন্য ডিজাইন করা হয়েছে৷

ফায়ারস্ক্যামের আক্রমণে ড্রপারের ভূমিকা

ইনস্টলেশনের পরে, ড্রপার প্রাথমিক পেলোডের জন্য একটি বিতরণ প্রক্রিয়া হিসাবে কাজ করে। এই মূল উপাদানটি একটি Firebase রিয়েলটাইম ডেটাবেসে সংবেদনশীল তথ্য-যেমন বার্তা, বিজ্ঞপ্তি এবং অ্যাপ্লিকেশন ডেটা সংগ্রহ এবং প্রেরণের জন্য দায়ী।

এর নিয়ন্ত্রণকে শক্তিশালী করতে, ড্রপার একাধিক অনুমতির অনুরোধ করে, যার মধ্যে বাহ্যিক সঞ্চয়স্থানে অ্যাক্সেস এবং 8 এবং নতুন সংস্করণে চলমান Android ডিভাইসগুলিতে অ্যাপ্লিকেশনগুলি ইনস্টল, আপডেট বা সরানোর ক্ষমতা অন্তর্ভুক্ত।

ফায়ারস্ক্যামের একটি বিশেষ দিক হল এটির ENFORCE_UPDATE_OWNERSHIP অনুমতির শোষণ। এই অ্যান্ড্রয়েড বৈশিষ্ট্যটি একটি অ্যাপ্লিকেশনের আসল ইনস্টলারকে তার 'আপডেট মালিক' হওয়ার অনুমতি দেয়, যার অর্থ শুধুমাত্র মনোনীত মালিকই আপডেটগুলি শুরু করতে পারে৷ এই প্রক্রিয়াটি ব্যবহার করে, FireScam অন্যান্য উত্স থেকে বৈধ আপডেটগুলিকে ব্লক করতে পারে, সংক্রামিত ডিভাইসে এর অব্যাহত উপস্থিতি নিশ্চিত করে।

উন্নত ফাঁকি এবং নজরদারি বৈশিষ্ট্য

ফায়ারস্ক্যাম সনাক্তকরণ এবং বিশ্লেষণ প্রতিরোধ করার জন্য অস্পষ্টতা কৌশল নিয়োগ করে। এটি সক্রিয়ভাবে আগত বিজ্ঞপ্তিগুলি, স্ক্রীনের অবস্থার পরিবর্তন, ব্যবহারকারীর কার্যকলাপ, ক্লিপবোর্ড সামগ্রী এবং এমনকি অনলাইন লেনদেনগুলিকে নিরীক্ষণ করে৷ হুমকিটি একটি দূরবর্তী সার্ভার থেকে ছবিগুলি ডাউনলোড এবং প্রক্রিয়াকরণ করতেও সক্ষম, এর নজরদারি ক্ষমতাগুলিতে আরেকটি স্তর যুক্ত করে৷

চালু হলে, দুর্বৃত্ত টেলিগ্রাম প্রিমিয়াম অ্যাপ ব্যবহারকারীদের পরিচিতি, কল লগ এবং এসএমএস বার্তা অ্যাক্সেস করার অনুমতির অনুরোধ করে। এটি তারপরে একটি লগইন পৃষ্ঠা উপস্থাপন করে যা একটি WebView এর মাধ্যমে অফিসিয়াল টেলিগ্রাম ওয়েবসাইটকে মিরর করে, ব্যবহারকারীর শংসাপত্রগুলি ক্যাপচার করার চেষ্টা করে। যাইহোক, ব্যবহারকারী তাদের লগইন বিশদ লিখতে না পারলেও ডেটা সংগ্রহ প্রক্রিয়া শুরু হয়।

অবিরাম দূরবর্তী অ্যাক্সেস বজায় রাখা

ফায়ারস্ক্যামের আরও একটি ছদ্মবেশী ফাংশন হল Firebase ক্লাউড মেসেজিং (FCM) বিজ্ঞপ্তিগুলির জন্য নিবন্ধন করার ক্ষমতা। এটি হুমকিকে দূরবর্তী নির্দেশাবলী পেতে এবং ডিভাইসে চলমান গোপন অ্যাক্সেস বজায় রাখার অনুমতি দেয়। উপরন্তু, এটি তার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে একটি WebSocket সংযোগ স্থাপন করে ডেটা চুরির সুবিধার্থে এবং আরও অনিরাপদ ক্রিয়া সম্পাদন করতে।

অন্যান্য ক্ষতিকারক উপাদান এবং উত্তরহীন প্রশ্ন

গবেষকরা ফিশিং ডোমেনে হোস্ট করা আরেকটি ক্ষতিকারক আর্টিফ্যাক্টও শনাক্ত করেছেন, যেটিকে 'সিডিইকে' বলা হয়। এই নামটি সম্ভবত একটি রাশিয়ান লজিস্টিকস এবং প্যাকেজ-ট্র্যাকিং পরিষেবার উল্লেখ করে, শুধুমাত্র FireScam এর বাইরে বিস্তৃত দূষিত কার্যকলাপের পরামর্শ দেয়।

এই অপারেশনের পিছনে কে বা কীভাবে ব্যবহারকারীদের এই ফিশিং লিঙ্কগুলিতে নির্দেশিত করা হচ্ছে তা এখনও স্পষ্ট নয়৷ সম্ভাব্য কৌশল এসএমএস ফিশিং (স্মিশিং) বা ম্যালভার্টাইজিং প্রচারাভিযান জড়িত হতে পারে। RuStore-এর মতো বৈধ পরিষেবাগুলি অনুকরণ করে, এই প্রতারণামূলক ওয়েবসাইটগুলি প্রতারণামূলক অ্যাপ্লিকেশনগুলি ডাউনলোড করতে ব্যক্তিদের বোঝানোর জন্য ব্যবহারকারীর বিশ্বাসকে কাজে লাগায়৷

ফায়ারস্ক্যামের ডেটা বের করে আনা এবং নজরদারি পরিচালনা করার ক্ষমতা ফিশিং-চালিত বিতরণ পদ্ধতির সাথে সম্পর্কিত ঝুঁকিগুলিকে আন্ডারস্কোর করে। এই কেসটি সোশ্যাল ইঞ্জিনিয়ারিং এবং সুপরিচিত প্ল্যাটফর্মগুলিতে বিশ্বাসকে শোষণকারী হুমকি থেকে Android ব্যবহারকারীদের রক্ষা করার চলমান চ্যালেঞ্জগুলিকে হাইলাইট করে৷