Konfety Mobile Malware
সাইবার নিরাপত্তা গবেষকরা কুখ্যাত অ্যান্ড্রয়েড ম্যালওয়্যার, কনফেটির একটি উন্নত রূপ আবিষ্কার করেছেন, যা এখন বৃহৎ আকারের বিজ্ঞাপন জালিয়াতি চালানোর জন্য দুষ্ট যমজ কৌশল ব্যবহার করে। এই পদ্ধতিটি মোবাইল ইকোসিস্টেমকে লক্ষ্য করে হুমকির ক্রমবর্ধমান জটিলতার উপর জোর দেয়।
সুচিপত্র
ইভিল টুইন কৌশল ব্যাখ্যা করা হয়েছে
নতুনভাবে পরিলক্ষিত পদ্ধতিতে একই প্যাকেজ নাম ব্যবহার করে এমন একটি অ্যাপ্লিকেশনের দুটি সংস্করণ তৈরি করা হচ্ছে। একটি সংস্করণ হল একটি বৈধ, সৌম্য অ্যাপ যা প্রায়শই গুগল প্লে স্টোরে পাওয়া যায়, অন্যদিকে এর ক্ষতিকারক প্রতিরূপ, 'দুষ্ট টুইন', তৃতীয় পক্ষের উৎসের মাধ্যমে বিতরণ করা হয়। উল্লেখযোগ্যভাবে, ডিকয় অ্যাপটি আক্রমণকারীদের কাছ থেকে উদ্ভূত হতে হবে না; অনেক ক্ষেত্রে, এটি ইতিমধ্যেই প্লে স্টোরে থাকা একটি খাঁটি অ্যাপ। একমাত্র প্রয়োজনীয়তা হল ক্ষতিকারক সংস্করণটি একই প্যাকেজ নাম ব্যবহার করে, যা এর উপস্থিতি লুকাতে সহায়তা করে।
অভিযোজনযোগ্যতা এবং উন্নত কৌশল
কনফেটির পেছনের অভিনেতারা অসাধারণ অভিযোজনযোগ্যতা দেখিয়েছেন, প্রায়শই লক্ষ্যবস্তুযুক্ত বিজ্ঞাপন নেটওয়ার্কগুলি পরিবর্তন করে এবং সনাক্তকরণ এড়াতে কৌশলগুলি পরিমার্জন করে। সর্বশেষ রূপটি APK এর ZIP কাঠামোর সাথে হস্তক্ষেপ করে এটিকে আরও এগিয়ে নিয়ে যায়। ত্রুটিপূর্ণ APK ব্যবহারের মাধ্যমে, আক্রমণকারীরা নিরাপত্তা পরীক্ষাগুলিকে এড়িয়ে যায় এবং বিপরীত-প্রকৌশল প্রচেষ্টাকে জটিল করে তোলে। তারা রানটাইমে প্রধান ডালভিক এক্সিকিউটেবল (DEX) পেলোডকে গতিশীলভাবে লোড করে, একই সাথে একটি নির্দিষ্ট ZIP পতাকা সক্ষম করে যা সিস্টেমকে বিশ্বাস করতে বিভ্রান্ত করে যে ফাইলটি এনক্রিপ্ট করা হয়েছে। এটি পরিদর্শনের সময় একটি মিথ্যা পাসওয়ার্ড প্রম্পট তৈরি করে, কার্যকরভাবে বিশ্লেষকদের বিষয়বস্তু অ্যাক্সেস করতে বাধা দেয়।
সংকোচনের কৌশল এবং বিশ্লেষণ ব্যাঘাত
আরেকটি অস্পষ্টতার স্তরে, কনফেটি AndroidManifest.xml ফাইলের মধ্যে BZIP কম্প্রেশন পদ্ধতি ব্যবহার করার মিথ্যা দাবি করে। এই ভুল উপস্থাপনা পার্সিং ব্যর্থতা, নির্দিষ্ট বিশ্লেষণ সরঞ্জাম ক্র্যাশ এবং ফরেনসিক প্রচেষ্টাকে স্থগিত করতে পারে। SoumniBot ম্যালওয়্যারে পূর্বে একই ধরণের কম্প্রেশন-ভিত্তিক ফাঁকি লক্ষ্য করা গেছে, যা ইঙ্গিত দেয় যে এটি অ্যান্ড্রয়েড ম্যালওয়্যার বিকাশের একটি উদীয়মান প্রবণতার অংশ।
ডায়নামিক কোড লোডিং এর মাধ্যমে গোপনীয়তা
কনফেটির স্টিলথ-এ ডায়নামিক কোড লোডিং একটি গুরুত্বপূর্ণ ভূমিকা পালন করে। ম্যালওয়্যারটি অ্যাপ ইনস্টলেশন বা স্ট্যাটিক বিশ্লেষণের সময় ঘটে যাওয়া স্বাভাবিক নিরাপত্তা পরীক্ষাগুলি এড়িয়ে কার্যকর করার সময় সরাসরি মেমরিতে তার DEX পেলোড ডিক্রিপ্ট করে এবং লোড করে। এনক্রিপ্ট করা সম্পদ এবং বিভ্রান্তিকর ম্যানিফেস্ট এন্ট্রিগুলির সাথে মিলিত হয়ে, এই স্তরযুক্ত অস্পষ্টতা কৌশল কনফেটিকে সনাক্তকরণ এবং বিপরীত প্রকৌশলের বিরুদ্ধে বিশেষভাবে স্থিতিস্থাপক করে তোলে।
ক্ষতিকারক ক্ষমতা এবং জিওফেন্সিং
পূর্ববর্তী পুনরাবৃত্তির মতো, কনফেটি বিজ্ঞাপন আনতে, অতিরিক্ত পেলোড সরবরাহ করতে এবং আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের সাথে যোগাযোগ বজায় রাখতে CaramelAds SDK সংহত করে। বিজ্ঞাপন জালিয়াতির বাইরে, এটি ব্যবহারকারীদের ক্ষতিকারক ওয়েবসাইটগুলিতে পুনঃনির্দেশিত করার, অবাঞ্ছিত অ্যাপ ইনস্টলেশন শুরু করার এবং ক্রমাগত, স্প্যাম-সদৃশ ব্রাউজার বিজ্ঞপ্তিগুলি পুশ করার ক্ষমতা রাখে। এর গোপনীয়তা যোগ করে, কনফেটি তার অ্যাপ আইকনটি লুকিয়ে রাখে এবং ভুক্তভোগীর ভৌগোলিক অবস্থানের উপর ভিত্তি করে তার আচরণ পরিবর্তন করার জন্য জিওফেন্সিং কৌশল ব্যবহার করে।
সারাংশ
কনফেটির বিবর্তন মোবাইল ম্যালওয়্যারের পরিশীলিততার স্পষ্ট বৃদ্ধি প্রতিফলিত করে। উন্নত APK টেম্পারিং, ডায়নামিক কোড ইনজেকশন এবং প্রতারণামূলক কনফিগারেশনের সংমিশ্রণ নিরাপত্তা নিয়ন্ত্রণকে এড়িয়ে সংক্রামিত ডিভাইসগুলিতে স্থায়িত্ব বজায় রাখার লক্ষ্যে হুমকিদাতাদের ক্রমাগত উদ্ভাবন প্রদর্শন করে।
