Mandrake

ইনফোসেক গবেষকরা ম্যানড্রেক নামক একটি টুলের সাহায্যে অস্ট্রেলিয়ায় অবস্থিত অ্যান্ড্রয়েড ব্যবহারকারীদের লক্ষ্য করে একটি উচ্চ-প্রান্তের প্রচারণা উন্মোচন করেছেন । অবশ্যই, ম্যানড্রেক হ্যাকিং টুলের পিছনে থাকা সাইবার ক্রুকরা তাদের ফোকাস পরিবর্তন করতে এবং ভবিষ্যতের প্রচারাভিযানে ভিন্ন অবস্থান থেকে ব্যবহারকারীদের টার্গেট করতে বেছে নিতে পারে। ম্যানড্রেক ম্যালওয়্যারটি 2016 সালে প্রথম আবির্ভূত হয়েছিল৷ যখন থেকে ম্যালওয়্যার বিশ্লেষকরা ম্যানড্রেকের হুমকি দেখেছেন, তখন থেকেই এর নির্মাতারা নিয়মিত আপডেটগুলি প্রবর্তন করছেন ৷ ম্যানড্রেক হুমকির নির্মাতারা নতুন বৈশিষ্ট্য যুক্ত করেছেন, পুরানোগুলিকে অপ্টিমাইজ করেছেন, অপ্রয়োজনীয় মডিউলগুলি সরিয়েছেন এবং সামগ্রিকভাবে হ্যাকিং টুলটিকে উন্নত করেছেন যাতে এটি খুব শক্তিশালী থাকে।

ম্যানড্রেক সংক্রামিত ডিভাইস থেকে সংবেদনশীল তথ্য সংগ্রহ করে

ম্যানড্রেক ম্যালওয়্যারটি হাজার হাজার ব্যবহারকারীর কাছে সহজেই বিতরণ করা যেতে পারে । যাইহোক, এর অপারেটররা গণ-স্প্যাম পদ্ধতি গ্রহণ করছে না । পরিবর্তে, তারা তাদের লক্ষ্যগুলি সাবধানে বাছাই করে বলে মনে হচ্ছে। বর্তমানে প্রায় 500 কপি সক্রিয় আছে। Mandrake হুমকি স্পাইওয়্যার হিসাবে শ্রেণীবদ্ধ করা যেতে পারে, এবং এটা মনে হবে যে এর লেখকরা শুধুমাত্র কিছু সময়ের জন্য নিরীক্ষণ করা লক্ষ্যে এটি স্থাপন করছে ।

যদি ম্যানড্রেক স্পাইওয়্যার আপনার অ্যান্ড্রয়েড ডিভাইসে আপোস করে, তাহলে এটি বিভিন্ন ধরনের কাজ করতে সক্ষম হবে । যেহেতু Mandrake হুমকি স্পাইওয়্যার হিসাবে তালিকাভুক্ত করা হয়েছে , এর লক্ষ্য লক্ষ্য করা হোস্টদের কাছ থেকে গুরুত্বপূর্ণ তথ্য সংগ্রহ করা। এটা সম্ভবত যে Mandrake স্পাইওয়্যার তার অপারেটরদের ব্যবহারকারীদের তাদের হাত পেতে অনুমতি দেয়:

• লগইন শংসাপত্র.

• যোগাযোগ তালিকা।

• তাদের গ্যালারিতে সংরক্ষিত ছবি এবং ভিডিও ।

• ব্যাঙ্ক অ্যাকাউন্ট তথ্য।

• পেমেন্ট বিবরণ।

• ব্যক্তিগত কথোপকথন

Mandrake স্পাইওয়্যার সংগ্রহ করা তথ্যের বিস্তৃত বিন্যাসের কথা মাথায় রেখে , সম্ভবত এর অপারেটররা এটিকে ব্ল্যাকমেলিং অপারেশন এবং আর্থিক জালিয়াতি প্রচারের জন্য ব্যবহার করছে।

যেহেতু প্রতিটি লক্ষ্যবস্তু ব্যবহারকারীকে আক্রমণকারীরা ভিন্নভাবে যোগাযোগ করেছে বলে মনে হয়, তাই সম্ভবত শিকারদের খুব সাবধানে নির্বাচন করা হয়েছে। সম্ভবত ম্যানড্রেক অভিযানটি সাইবার অপরাধীদের একটি অত্যন্ত দক্ষ এবং অত্যন্ত অভিজ্ঞ গ্রুপ দ্বারা পরিচালিত হয় যারা জানে তারা ঠিক কী করছে। নিশ্চিত করুন যে আপনার অ্যান্ড্রয়েড ডিভাইস একটি প্রকৃত, সম্মানজনক অ্যান্টি-ভাইরাস অ্যাপ্লিকেশন দ্বারা সুরক্ষিত।

উন্নত ম্যানড্রেক মোবাইল ম্যালওয়্যার অ্যান্ড্রয়েড ব্যবহারকারীদের লক্ষ্য করে

অত্যন্ত পরিশীলিত অ্যান্ড্রয়েড স্পাইওয়্যারের একটি নতুন পুনরাবৃত্তি , ম্যানড্রেক, গুগল প্লে স্টোরে পাঁচটি অ্যাপ্লিকেশনের মধ্যে লুকিয়ে থাকা আবিষ্কৃত হয়েছে। এই স্পাইওয়্যারটি দুই বছর ধরে সনাক্ত করা যায়নি ।

গোপন অনুপ্রবেশ: অ্যাপস এবং তাদের নাগাল

পাঁচটি সংক্রামিত অ্যাপ্লিকেশন গুগল প্লে স্টোর থেকে সরানোর আগে 32,000 বারের বেশি ডাউনলোড করা হয়েছিল। এই ডাউনলোডগুলির বেশিরভাগ কানাডা, জার্মানি, ইতালি, মেক্সিকো, স্পেন, পেরু এবং যুক্তরাজ্য সহ দেশগুলি থেকে এসেছে

উন্নত ফাঁকি কৌশল

ম্যানড্রেকের নতুন নমুনাগুলিতে অস্পষ্টতা এবং ফাঁকি দেওয়ার কৌশলগুলির উন্নত স্তরগুলি বৈশিষ্ট্যযুক্ত:

• • অস্পষ্ট নেটিভ লাইব্রেরিতে দূষিত কার্যকারিতা সরানো

• সুরক্ষিত কমান্ড-এন্ড-কন্ট্রোল (C2) যোগাযোগের জন্য শংসাপত্র পিনিং ব্যবহার করা
• ম্যালওয়্যারটি রুট করা ডিভাইসে বা অনুকরণ করা পরিবেশে চলছিল কিনা তা সনাক্ত করতে অসংখ্য পরীক্ষা করা

বিরোধী বিশ্লেষণ কৌশল

ম্যানড্রেকের আপডেট হওয়া রূপগুলি তাদের প্রধান কার্যকারিতা গোপন করতে OLLVM (Obfuscation LLVM) ব্যবহার করেছে। উপরন্তু, তারা ম্যালওয়্যার বিশ্লেষকদের দ্বারা সনাক্তকরণ প্রতিরোধ করার জন্য বিভিন্ন স্যান্ডবক্স ফাঁকি এবং অ্যান্টি-বিশ্লেষণ কৌশল অন্তর্ভুক্ত করেছে।

সংক্রমিত অ্যাপ্লিকেশন

Mandrake স্পাইওয়্যার ধারণ করা পাঁচটি অ্যাপ্লিকেশন হল:

AirFS (com.airft.ftrnsfr)

অ্যাম্বার (com. shrp . sght )

অ্যাস্ট্রো এক্সপ্লোরার (com.astro.dscvr)

ব্রেন ম্যাট্রিক্স (com. brnmth . mtrx )

CryptoPulsing (com. cryptopulsing .browser)

মাল্টি-স্টেজ সংক্রমণ প্রক্রিয়া

প্রথম পর্যায়: ড্রপার

প্রাথমিক সংক্রমণ একটি ড্রপার দিয়ে শুরু হয় যা একটি লোডার চালু করে। এই লোডারটি একটি C2 সার্ভার থেকে ডাউনলোড এবং ডিক্রিপ্ট করার পরে ম্যালওয়্যারের মূল উপাদানটি কার্যকর করে ৷

পর্যায় দুই: তথ্য সংগ্রহ

দ্বিতীয় পর্যায়ের পেলোড ডিভাইস সম্পর্কে তথ্য সংগ্রহ করে, যার মধ্যে রয়েছে:

• • সংযোগের অবস্থা

• • ইনস্টল করা অ্যাপ্লিকেশন

• • ব্যাটারির চার্জের অবস্থা

• • বাহ্যিক আইপি ঠিকানা

• • বর্তমান Google Play সংস্করণ

অতিরিক্তভাবে, এটি মূল মডিউলটি মুছে ফেলতে পারে এবং ওভারলে আঁকতে এবং পটভূমিতে চালানোর অনুমতির অনুরোধ করতে পারে।

পর্যায় তিন: শংসাপত্র চুরি এবং আরও অনেক কিছু

তৃতীয় পর্যায়ে অতিরিক্ত কমান্ড সমর্থন করে, যেমন:
একটি WebView এ একটি নির্দিষ্ট URL লোড করা হচ্ছে

একটি দূরবর্তী স্ক্রিন-শেয়ারিং সেশন শুরু করা হচ্ছে

শংসাপত্র চুরি করতে এবং আরও ম্যালওয়্যার ড্রপ করার জন্য ডিভাইসের স্ক্রীন রেকর্ড করা

Android 13 এর 'সীমাবদ্ধ সেটিংস' বাইপাস করা

অ্যান্ড্রয়েড 13-এর 'সীমাবদ্ধ সেটিংস' বৈশিষ্ট্যকে বাইপাস করতে Mandrake একটি 'সেশন-ভিত্তিক' প্যাকেজ ইনস্টলার নিয়োগ করে, যা সাইডলোড করা অ্যাপ্লিকেশনগুলিকে সরাসরি অনিরাপদ অনুমতির অনুরোধ করা থেকে নিষিদ্ধ করে।

উপসংহার: একটি চির-বিকশিত হুমকি

গবেষকরা ম্যানড্রেককে গতিশীলভাবে বিকশিত হুমকি হিসাবে বর্ণনা করেছেন, প্রতিরক্ষা ব্যবস্থাকে বাইপাস করতে এবং সনাক্তকরণ এড়াতে ক্রমাগত এর কৌশলগুলিকে পরিমার্জন করে চলেছে। এটি হুমকি অভিনেতাদের শক্তিশালী দক্ষতা প্রদর্শন করে এবং অফিসিয়াল অ্যাপ মার্কেটপ্লেসে প্রকাশিত হওয়ার আগে অ্যাপ্লিকেশনগুলির জন্য কঠোর নিয়ন্ত্রণের প্রয়োজনীয়তা তুলে ধরে ।