FvncBot মোবাইল ম্যালওয়্যার

নিরাপত্তা বিশ্লেষকরা FvncBot নামে একটি অজানা অ্যান্ড্রয়েড ম্যালওয়্যার স্ট্রেন শনাক্ত করেছেন, যা সম্পূর্ণরূপে শুরু থেকেই তৈরি একটি হুমকি। অনেক আধুনিক ব্যাংকিং ট্রোজানের বিপরীতে যারা ফাঁস হওয়া কোডবেস থেকে তাদের ক্ষমতা অর্জন করে, এই পরিবারটি নিজস্ব স্থাপত্য এবং কৌশল অনুসরণ করে।

বিশ্বস্ত পোলিশ ব্যাংকিং অ্যাপের ছদ্মবেশে

FvncBot mBank-এর একটি বৈধ নিরাপত্তা সরঞ্জামের আড়ালে ছড়িয়ে পড়ে, যা সরাসরি পোল্যান্ডের মোবাইল ব্যাংকিং ব্যবহারকারীদের লক্ষ্য করে। আর্থিক কারসাজির জন্য তৈরি কার্যকারিতার সাথে মিলিত ছদ্মবেশের পছন্দ দৃঢ়ভাবে ইঙ্গিত দেয় যে এর অপারেটররা অত্যন্ত লক্ষ্যবস্তু জালিয়াতি প্রচারণার উপর দৃষ্টি নিবদ্ধ করে।

আর্থিক জালিয়াতির জন্য কাস্টম-বিল্ট বৈশিষ্ট্য

এই ম্যালওয়্যারটিতে সংবেদনশীল তথ্য ক্যাপচার এবং দূরবর্তীভাবে ক্ষতিগ্রস্ত ডিভাইসগুলিকে নিয়ন্ত্রণ করার জন্য ডিজাইন করা বিস্তৃত ক্ষমতা রয়েছে। অ্যান্ড্রয়েডের অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহার করে, এটি কীলগিং যোগ করে, ওয়েব-ইনজেক্ট আক্রমণ চালায়, স্ক্রিন কন্টেন্ট স্ট্রিম করে এবং অননুমোদিত ব্যাংকিং কার্যকলাপকে সহজতর করার জন্য লুকানো ভার্চুয়াল নেটওয়ার্ক কম্পিউটিং (HVNC) ব্যবহার করে।

FvncBot সুরক্ষার জন্য Golden Crypt-এর apk0day ক্রিপ্টিং পরিষেবার উপর নির্ভর করে। ব্যবহারকারীর কাছে উপস্থাপিত ক্ষতিকারক অ্যাপটি কেবল একটি লোডার হিসাবে কাজ করে, এমবেডেড পেলোড স্থাপন করে।

আধুনিক অ্যান্ড্রয়েড বিধিনিষেধ উপেক্ষা করা

একবার চালু হয়ে গেলে, ড্রপারটি ভুক্তভোগীদের গুগল প্লে কম্পোনেন্ট বলে মনে হয় এমন একটি উপাদান ইনস্টল করতে রাজি করানোর চেষ্টা করে। এই প্রক্রিয়াটি আসলে একটি সেশন-ভিত্তিক কৌশল যা অ্যান্ড্রয়েড ১৩ এবং তার পরবর্তী সংস্করণে চলমান ডিভাইসগুলিতে অ্যাক্সেসিবিলিটি সুরক্ষা বাইপাস করার জন্য ব্যবহৃত হয়, এই কৌশলটি অন্যান্য সাম্প্রতিক প্রচারণায় দেখা গেছে।

অপারেশন চলাকালীন, ম্যালওয়্যারটি naleymilva.it.com-এ হোস্ট করা একটি সার্ভারে লগ ডেটা পাঠায়, যা আক্রমণকারীদের রিয়েল টাইমে বটের কার্যকলাপ পর্যবেক্ষণ করতে দেয়। অপারেটরদের দ্বারা এমবেড করা মেটাডেটা, যেমন শনাক্তকারী call_pl এবং সংস্করণ 1.0‑P, প্রাথমিক লক্ষ্য হিসাবে পোল্যান্ডকে নির্দেশ করে এবং পরামর্শ দেয় যে FvncBot এখনও বিকাশের প্রাথমিক পর্যায়ে রয়েছে।

অ্যাক্সেসিবিলিটি অপব্যবহারের মাধ্যমে নিয়ন্ত্রণ প্রতিষ্ঠা করা

স্থাপনের পর, ম্যালওয়্যারটি ব্যবহারকারীকে অ্যাক্সেসিবিলিটি অনুমতি দেওয়ার জন্য অনুরোধ করে। উন্নত সুবিধাগুলি সুরক্ষিত করে, এটি ডিভাইসটি নিবন্ধন করার জন্য HTTP এর মাধ্যমে একটি বহিরাগত সার্ভারের সাথে যোগাযোগ করে এবং চলমান কমান্ডগুলি গ্রহণ করার জন্য Firebase Cloud Messaging (FCM) ব্যবহার করে।

মূল ক্ষমতা

• নীচে কিছু প্রাথমিক সমর্থিত ফাংশন দেওয়া হল:
• রিমোট কন্ট্রোলের জন্য ওয়েবসকেট সেশন শুরু করুন বা বন্ধ করুন, সোয়াইপ, ট্যাপ এবং স্ক্রলিং সক্ষম করুন।

একটি উল্লেখযোগ্য বৈশিষ্ট্য হল একটি বিশেষায়িত 'টেক্সট মোড' যা আক্রমণকারীদের স্ক্রিনের বিষয়বস্তু বিশ্লেষণ করতে দেয় এমনকি যখন অ্যাপগুলি FLAG_SECURE সেটিং এর মাধ্যমে স্ক্রিনশট আটকায়। এটি প্রতারণামূলক লেনদেনের সময় সুনির্দিষ্ট লক্ষ্যবস্তু নির্ধারণ করতে সক্ষম করে।

বিতরণ এখনও অস্পষ্ট

বর্তমান সংক্রমণ পদ্ধতি এখনও অজানা। তবে, অ্যান্ড্রয়েড ব্যাংকিং ট্রোজানগুলি প্রায়শই এসএমএস ফিশিং প্রচারণা এবং অনানুষ্ঠানিক অ্যাপ স্টোরের উপর নির্ভর করে, যা এই পরিবারের জন্যও সম্ভাব্য ভেক্টর তৈরি করে।

পোল্যান্ডের বাইরেও বিস্তৃত হতে পারে এমন একটি ক্রমবর্ধমান হুমকি

যেহেতু অ্যান্ড্রয়েডের অ্যাক্সেসিবিলিটি পরিষেবা ব্যবহারকারীর কার্যকলাপ এবং স্ক্রিনে থাকা বিষয়বস্তু পরিচালনা করার ক্ষমতা সম্পর্কে গভীর অন্তর্দৃষ্টি প্রদান করে, তাই এটি আক্রমণকারীদের জন্য একটি শক্তিশালী হাতিয়ার হিসেবে রয়ে গেছে। যদিও এই নমুনাটি পোলিশ-ভাষী ব্যবহারকারীদের উপর দৃষ্টি নিবদ্ধ করে, এর অপারেটররা সহজেই নতুন অঞ্চলে স্যুইচ করতে পারে বা অন্যান্য প্রতিষ্ঠানের ছদ্মবেশ ধারণ করতে পারে।