GravityRAT মোবাইল ম্যালওয়্যার

আগস্ট 2022 সাল থেকে, একটি নতুন অ্যান্ড্রয়েড ম্যালওয়্যার প্রচারাভিযান সনাক্ত করা হয়েছে, যা GravityRAT-এর সর্বশেষ সংস্করণ ছড়িয়ে দিয়েছে এবং মোবাইল ডিভাইসগুলির সাথে আপস করছে। ম্যালওয়্যারটি 'বিঞ্জচ্যাট' নামে একটি ট্রোজানাইজড চ্যাট অ্যাপ্লিকেশনটিকে সংক্রমণের মাধ্যম হিসাবে ব্যবহার করে, যার লক্ষ্য ভিকটিমদের ডিভাইস থেকে ডেটা চুরি করা।

GravityRAT-এর সর্বশেষ সংস্করণটি হোয়াটসঅ্যাপ ব্যাকআপ ফাইলগুলি চুরি করার ক্ষমতা সহ উল্লেখযোগ্য বর্ধনের সাথে আসে। এই ব্যাকআপ ফাইলগুলি, ব্যবহারকারীদের তাদের বার্তার ইতিহাস, মিডিয়া ফাইল এবং নতুন ডিভাইসে ডেটা স্থানান্তর করতে সহায়তা করার জন্য ডিজাইন করা হয়েছে, এতে সংবেদনশীল তথ্য যেমন টেক্সট, ভিডিও, ফটো, নথি এবং আরও অনেক কিছু এনক্রিপ্ট করা ফর্ম্যাটে থাকতে পারে।

যদিও GravityRAT অন্তত 2015 সাল থেকে সক্রিয় ছিল, এটি শুধুমাত্র 2020 সালে Android ডিভাইসগুলিকে টার্গেট করা শুরু করে৷ 'SpaceCobra' নামে পরিচিত এই ম্যালওয়্যারের পিছনের অপারেটররা তাদের উচ্চ-লক্ষ্যযুক্ত ক্রিয়াকলাপগুলির জন্য একচেটিয়াভাবে স্পাইওয়্যার নিয়োগ করে৷

সাইবার অপরাধীরা GravityRAT কে দরকারী চ্যাট অ্যাপ হিসাবে ছদ্মবেশ ধারণ করে

স্পাইওয়্যার, চ্যাট অ্যাপ 'বিঞ্জচ্যাট'-এর ছদ্মবেশে, এন্ড-টু-এন্ড এনক্রিপশন অফার করার দাবি করে এবং উন্নত বৈশিষ্ট্যগুলির সাথে একটি ব্যবহারকারী-বান্ধব ইন্টারফেস নিয়ে গর্ব করে। ক্ষতিকারক অ্যাপটি প্রাথমিকভাবে 'bingechat.net' ওয়েবসাইট এবং সম্ভবত অন্যান্য ডোমেন বা চ্যানেলের মাধ্যমে বিতরণ করা হয়। যাইহোক, ডাউনলোডের অ্যাক্সেস আমন্ত্রিত ব্যক্তিদের জন্য সীমাবদ্ধ যাদের বৈধ শংসাপত্র প্রদান করতে হবে বা একটি নতুন অ্যাকাউন্ট নিবন্ধন করতে হবে।

বর্তমানে, অ্যাপটির নিবন্ধন বন্ধ রয়েছে, নির্দিষ্ট লক্ষ্যে এর বিতরণকে সীমাবদ্ধ করে। এই পদ্ধতিটি শুধুমাত্র অপরাধীদের বেছে বেছে ম্যালওয়্যার সরবরাহ করার অনুমতি দেয় না কিন্তু বিশ্লেষণের জন্য একটি অনুলিপি পেতে চাওয়া গবেষকদের জন্য একটি চ্যালেঞ্জও তৈরি করে।

একটি পুনরাবৃত্ত প্যাটার্নে, GravityRAT-এর অপারেটররা 2021 সালে 'SoSafe' নামে একটি চ্যাট অ্যাপ ব্যবহার করে ক্ষতিকারক অ্যান্ড্রয়েড APK প্রচারের আশ্রয় নিয়েছিল এবং তার আগে 'Travel Mate Pro' নামে আরেকটি অ্যাপ। এই অ্যাপগুলি ছিল OMEMO IM-এর ট্রোজানাইজড সংস্করণ, অ্যান্ড্রয়েডের জন্য একটি বৈধ ওপেন সোর্স ইনস্ট্যান্ট মেসেঞ্জার অ্যাপ।

উল্লেখযোগ্যভাবে, স্পেসকোবরা এর আগে ওমেমো আইএমকে 'চ্যাটিকো' নামে আরেকটি প্রতারণামূলক অ্যাপের ভিত্তি হিসেবে ব্যবহার করেছিল। 2022 সালের গ্রীষ্মে, Chatico অধুনা-লুপ্ত ওয়েবসাইট 'chatico.co.uk'-এর মাধ্যমে লক্ষ্যবস্তুতে বিতরণ করা হয়েছিল।

GravityRAT মোবাইল হুমকিতে দূষিত ক্ষমতা পাওয়া গেছে

টার্গেটের ডিভাইসে ইনস্টল করার পরে, BingeChat অনুমতির অনুরোধ করে যা অন্তর্নিহিত ঝুঁকি বহন করে। এই অনুমতিগুলির মধ্যে পরিচিতি, অবস্থান, ফোন, এসএমএস, স্টোরেজ, কল লগ, ক্যামেরা এবং মাইক্রোফোন অ্যাক্সেস অন্তর্ভুক্ত রয়েছে। যেহেতু এই অনুমতিগুলি সাধারণত তাত্ক্ষণিক বার্তাপ্রেরণ অ্যাপগুলির জন্য প্রয়োজন হয়, তাই তারা সন্দেহ জাগাতে পারে না বা শিকারের কাছে অস্বাভাবিক বলে মনে হয় না৷

একজন ব্যবহারকারী BingeChat-এ নিবন্ধন করার আগে, অ্যাপটি গোপনে হুমকি অভিনেতার কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে গুরুত্বপূর্ণ তথ্য পাঠায়। এতে কল লগ, যোগাযোগের তালিকা, এসএমএস বার্তা, ডিভাইসের অবস্থান এবং প্রাথমিক ডিভাইসের তথ্য অন্তর্ভুক্ত রয়েছে। অতিরিক্তভাবে, ম্যালওয়্যারটি নির্দিষ্ট ফাইল প্রকারের বিভিন্ন মিডিয়া এবং নথি ফাইল চুরি করে, যেমন jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus , crypt14, crypt12, crypt13, crypt18, এবং crypt32। উল্লেখযোগ্যভাবে, ক্রিপ্ট ফাইল এক্সটেনশনগুলি হোয়াটসঅ্যাপ মেসেঞ্জার ব্যাকআপের সাথে মিলে যায়।

অধিকন্তু, GravityRAT-এর উল্লেখযোগ্য নতুন বৈশিষ্ট্যগুলির মধ্যে একটি হল C2 সার্ভার থেকে তিনটি স্বতন্ত্র কমান্ড পাওয়ার ক্ষমতা। এই কমান্ডগুলির মধ্যে রয়েছে 'সমস্ত ফাইল মুছুন' (একটি নির্দিষ্ট এক্সটেনশনের), 'সমস্ত পরিচিতি মুছুন' এবং 'সমস্ত কল লগ মুছুন'। এই ক্ষমতা হুমকি অভিনেতাকে আপস করা ডিভাইসের উপর উল্লেখযোগ্য নিয়ন্ত্রণ প্রদান করে এবং তাদের সম্ভাব্য ক্ষতিকারক ক্রিয়া সম্পাদন করতে দেয়।

অ্যাপগুলিকে অনুমতি দেওয়ার সময় ব্যবহারকারীদের অত্যন্ত সতর্কতা অবলম্বন করা উচিত এবং যেকোন অ্যাপ্লিকেশনের অনুরোধ করা অনুমতিগুলিকে সাবধানে পর্যালোচনা করা উচিত, এমনকি আপাতদৃষ্টিতে বৈধও৷ নিয়মিতভাবে ডিভাইস আপডেট করা, নির্ভরযোগ্য নিরাপত্তা সমাধান নিযুক্ত করা, এবং সন্দেহজনক অ্যাপ আচরণের বিরুদ্ধে সতর্ক থাকা এই ধরনের অত্যাধুনিক ম্যালওয়্যার প্রচারণার সাথে যুক্ত ঝুঁকি কমাতে সাহায্য করতে পারে।