Mirax র‍্যাট

মিরাক্স নামের একটি নতুন শনাক্ত হওয়া অ্যান্ড্রয়েড রিমোট অ্যাক্সেস ট্রোজান বড় আকারের সোশ্যাল মিডিয়া ক্যাম্পেইনের মাধ্যমে সক্রিয়ভাবে স্প্যানিশ-ভাষী অঞ্চলগুলোকে লক্ষ্যবস্তু করছে। আক্রমণকারীরা ফেসবুক, ইনস্টাগ্রাম, মেসেঞ্জার এবং থ্রেডস-এর মতো প্ল্যাটফর্মে বিজ্ঞাপন ব্যবহার করে ২,২০,০০০-এরও বেশি অ্যাকাউন্টে পৌঁছেছে। এই ব্যাপক বিস্তার ম্যালওয়্যার বিতরণের জন্য বিশ্বস্ত বিজ্ঞাপন ইকোসিস্টেমগুলোকে কাজে লাগানোর একটি পরিকল্পিত প্রচেষ্টাকে তুলে ধরে।

উন্নত রিমোট কন্ট্রোল ক্ষমতা

মিরাক্স একটি অত্যন্ত সক্ষম রিমোট অ্যাক্সেস ট্রোজান (RAT) হিসেবে কাজ করে, যা আক্রমণকারীদেরকে আক্রান্ত ডিভাইসগুলোর ওপর সম্পূর্ণ ও রিয়েল-টাইম নিয়ন্ত্রণ প্রদান করে। এর কার্যকারিতা সাধারণ RAT কার্যক্রমের বাইরেও বিস্তৃত, যা সংক্রমিত সিস্টেমগুলোর ওপর সূক্ষ্ম স্তরে নজরদারি এবং মিথস্ক্রিয়া করতে সক্ষম করে। এর সক্ষমতাগুলোর মধ্যে রয়েছে কীস্ট্রোক লগিং, ফটো এক্সফিলট্রেশন, লক স্ক্রিন ডেটা সংগ্রহ, কমান্ড কার্যকর করা, ইন্টারফেস নেভিগেশন এবং ব্যবহারকারীর কার্যকলাপের অবিচ্ছিন্ন পর্যবেক্ষণ।

এছাড়াও, ম্যালওয়্যারটি তার কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামো থেকে ডাইনামিক এইচটিএমএল ওভারলে পুনরুদ্ধার ও প্রদর্শন করতে পারে, যা প্রতারণামূলক ইন্টারফেসের মাধ্যমে ক্রেডেনশিয়াল সংগ্রহকে সহজ করে তোলে।

ভুক্তভোগীদের প্রক্সি পরিকাঠামোতে পরিণত করা

মিরাক্সের একটি প্রধান বৈশিষ্ট্য হলো সংক্রমিত ডিভাইসগুলোকে রেসিডেন্সিয়াল প্রক্সি নোডে রূপান্তরিত করার ক্ষমতা। ইয়ামাক্স মাল্টিপ্লেক্সিংয়ের পাশাপাশি সক্স৫ (SOCKS5) প্রোটোকল সাপোর্ট অন্তর্ভুক্ত করার মাধ্যমে, এই ম্যালওয়্যারটি স্থায়ী প্রক্সি চ্যানেল স্থাপন করে, যা আক্রমণকারীদের ট্র্যাফিককে বৈধ ব্যবহারকারীর আইপি অ্যাড্রেসের মাধ্যমে রাউট করে। এই কার্যকারিতা আক্রমণকারীদেরকে জিওলোকেশন সংক্রান্ত বিধিনিষেধ এড়িয়ে যেতে, জালিয়াতি শনাক্তকরণ ব্যবস্থা ফাঁকি দিতে এবং উন্নততর পরিচয় গোপনীয়তা ও বিশ্বাসযোগ্যতার সাথে অ্যাকাউন্ট দখলের মতো ক্ষতিকর কার্যকলাপ পরিচালনা করতে সক্ষম করে।

এক্সক্লুসিভ অ্যাক্সেস সহ ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস

মিরাক্সকে 'মিরাক্স বট' নামে একটি ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (MaaS) অফারিং হিসেবে বাজারজাত করা হয়। এর পূর্ণাঙ্গ সংস্করণটির তিন মাসের সাবস্ক্রিপশনের মূল্য ২৫০০ ডলার। একই সাথে, প্রতি মাসে ১৭৫০ ডলারে এর একটি সীমিত সংস্করণও পাওয়া যায়, যেটিতে প্রক্সি কার্যকারিতা এবং গুগল প্লে প্রোটেক্ট বাইপাস করার ক্ষমতার মতো ফিচারগুলো নেই। সাধারণ MaaS প্ল্যাটফর্মগুলোর থেকে ভিন্ন, এর বিতরণ কঠোরভাবে নিয়ন্ত্রিত এবং একটি সীমিত সংখ্যক অ্যাফিলিয়েটের মধ্যে সীমাবদ্ধ, যাদের মধ্যে প্রধানত রয়েছে আন্ডারগ্রাউন্ড ফোরামগুলোতে প্রতিষ্ঠিত খ্যাতিসম্পন্ন রুশ-ভাষী অ্যাক্টররা। এই একচেটিয়া ব্যবস্থাটি অপারেশনাল নিরাপত্তা এবং ক্যাম্পেইনের ধারাবাহিক কার্যকারিতার উপর একটি সুচিন্তিত মনোযোগের ইঙ্গিত দেয়।

বিদ্বেষপূর্ণ বিজ্ঞাপনের মাধ্যমে সামাজিক প্রকৌশল

এই সংক্রমণ শৃঙ্খলটি মেটা প্ল্যাটফর্মে হোস্ট করা প্রতারণামূলক বিজ্ঞাপন প্রচারণার ওপর ব্যাপকভাবে নির্ভরশীল। এই বিজ্ঞাপনগুলো লাইভ খেলাধুলা এবং সিনেমায় বিনামূল্যে প্রবেশের সুযোগ দিয়ে প্রতারণামূলক স্ট্রিমিং পরিষেবা প্রচার করে, যা ব্যবহারকারীদের ক্ষতিকারক অ্যাপ্লিকেশন ডাউনলোড করতে প্রলুব্ধ করে। একাধিক বিজ্ঞাপন শনাক্ত করা হয়েছে, যেগুলোর মূল লক্ষ্য ছিল স্পেনের ব্যবহারকারীরা। শুধুমাত্র একটি প্রচারণাই, যা ৬ এপ্রিল, ২০২৬-এ চালু হয়েছিল, প্রায় ১,৯১,০০০ ব্যবহারকারীর কাছে পৌঁছেছিল, যা এই বিতরণ কৌশলের ব্যাপকতা এবং কার্যকারিতা প্রমাণ করে।

অত্যাধুনিক ডেলিভারি এবং এড়ানোর কৌশল

মিরাক্স শনাক্তকরণ ও বিশ্লেষণ এড়ানোর জন্য একটি বহু-পর্যায়ের সংক্রমণ প্রক্রিয়া ব্যবহার করে। ড্রপার অ্যাপ্লিকেশনগুলো এমন ওয়েব পেজের মাধ্যমে ছড়ানো হয়, যেগুলোতে কঠোর অ্যাক্সেস চেক থাকে। এর ফলে শুধু মোবাইল ব্যবহারকারীরাই সামনে এগোতে পারে এবং স্বয়ংক্রিয় নিরাপত্তা স্ক্যানও ব্লক হয়ে যায়। ক্ষতিকারক APK ফাইলগুলো গিটহাবে হোস্ট করা থাকে, যা সেগুলোকে বৈধ পরিকাঠামোর সাথে আরও ভালোভাবে মিশিয়ে দেয়।

একবার চালু হলে, ড্রপারটি ব্যবহারকারীদের অজানা উৎস থেকে ইনস্টলেশন সক্ষম করতে অনুরোধ করে, যা স্যান্ডবক্সিং এবং নিরাপত্তা সরঞ্জামগুলিকে বাইপাস করার জন্য ডিজাইন করা একটি জটিল পেলোড নিষ্কাশন প্রক্রিয়া শুরু করে। এরপর ম্যালওয়্যারটি একটি ভিডিও প্লেব্যাক অ্যাপ্লিকেশন হিসাবে ছদ্মবেশ ধারণ করে এবং অ্যাক্সেসিবিলিটি পরিষেবা অনুমতির জন্য অনুরোধ করে, যা এটিকে নীরবে পটভূমিতে চলার সময় ডিভাইসের ক্রিয়াকলাপগুলির উপর ব্যাপক নিয়ন্ত্রণ প্রদান করে। ব্যবহারকারীদের বিভ্রান্ত করার জন্য একটি নকল ইনস্টলেশন ব্যর্থতার বার্তা প্রদর্শিত হয়, এবং ক্ষতিকারক ওভারলেগুলি চলমান কার্যকলাপকে গোপন করে।

এই প্রচারাভিযানে বেশ কয়েকটি প্রতারণামূলক অ্যাপ্লিকেশন পরিচয় ব্যবহার করা হয়েছে:

StreamTV (org.lgvvfj.pluscqpuj অথবা org.dawme.secure5ny) – ড্রপার হিসেবে কাজ করছে

ভিডিও রিপ্রোডাক্টর (org.yjeiwd.plusdc71 অথবা org.azgaw.managergst1d) – মিরাক্স পেলোড সরবরাহ করছে

কমান্ড-অ্যান্ড-কন্ট্রোল আর্কিটেকচার এবং যোগাযোগ চ্যানেল

মিরাক্স তার C2 সার্ভারগুলির সাথে একাধিক দ্বিমুখী যোগাযোগ চ্যানেল স্থাপন করে, যা কার্যকরভাবে কাজ সম্পাদন এবং ডেটা পাচার সক্ষম করে। বিভিন্ন পরিচালনগত উদ্দেশ্যে স্বতন্ত্র ওয়েবসকেট সংযোগ ব্যবহার করা হয়:

• পোর্ট ৮৪৪৩ রিমোট অ্যাক্সেস ম্যানেজমেন্ট এবং কমান্ড এক্সিকিউশন পরিচালনা করে।
• পোর্ট ৮৪৪৪ রিমোট স্ট্রিমিং এবং ডেটা এক্সফিলট্রেশন সমর্থন করে।
• পোর্ট ৮৪৪৫ (বা কাস্টম পোর্ট) SOCKS5-ভিত্তিক আবাসিক প্রক্সি কার্যক্রম সহজতর করে।

এই খণ্ডিত স্থাপত্য নির্ভরযোগ্যতা এবং পরিচালনগত নমনীয়তা বৃদ্ধি করে, তবে এটি শনাক্তকরণের প্রচেষ্টাকে জটিল করে তোলে।

সাইবার অপরাধমূলক কার্যক্রমে একটি নতুন পর্যায়

RAT এবং রেসিডেন্সিয়াল প্রক্সি সক্ষমতার সংযোজন মোবাইল থ্রেট ডিজাইনে একটি উল্লেখযোগ্য বিবর্তনের ইঙ্গিত দেয়। ঐতিহাসিকভাবে, প্রক্সি বটনেটগুলো হ্যাক হওয়া IoT ডিভাইস বা স্মার্ট টিভির মতো স্বল্পমূল্যের অ্যান্ড্রয়েড হার্ডওয়্যারের সাথে যুক্ত ছিল। মিরাক্স এই সক্ষমতাগুলোকে পূর্ণাঙ্গ ব্যাংকিং ট্রোজানের মধ্যে অন্তর্ভুক্ত করার দিকে একটি পরিবর্তনের প্রতিনিধিত্ব করে, যা প্রতিটি সংক্রমণের মূল্য এবং আক্রমণকারীর কার্যকলাপের বহুমুখিতা উভয়কেই নাটকীয়ভাবে বাড়িয়ে দেয়।

আর্থিক জালিয়াতির কৌশল এবং প্রক্সি পরিকাঠামোর সমন্বয়ের মাধ্যমে, মিরাক্স আক্রমণকারীদের একই সাথে ভুক্তভোগীদের সরাসরি শোষণ করতে এবং তাদের ডিভাইসগুলোকে বৃহত্তর সাইবার অপরাধী ইকোসিস্টেমে সম্পদ হিসেবে ব্যবহার করতে সক্ষম করে।