MMRat মোবাইল ম্যালওয়্যার

MMRat নামে একটি উদীয়মান অ্যান্ড্রয়েড ব্যাঙ্কিং ম্যালওয়্যার প্রোটোবাফ ডেটা সিরিয়ালাইজেশন নামে পরিচিত একটি অস্বাভাবিক যোগাযোগ কৌশল নিয়োগ করে। এই পদ্ধতিটি আপোসকৃত ডিভাইসগুলি থেকে তথ্য আহরণে ম্যালওয়্যারের দক্ষতা বাড়ায়।

2023 সালের জুন মাসে সাইবারসিকিউরিটি বিশেষজ্ঞদের দ্বারা আবিষ্কৃত হয়েছে, MMRat প্রাথমিকভাবে দক্ষিণ-পূর্ব এশিয়ায় অবস্থিত ব্যবহারকারীদের লক্ষ্য করার দিকে মনোনিবেশ করেছে। যদিও সম্ভাব্য ক্ষতিগ্রস্থদের কাছে ম্যালওয়্যারের প্রাথমিক বিস্তারের সুনির্দিষ্ট পদ্ধতি অজানা, গবেষকরা চিহ্নিত করেছেন যে MMRat বৈধ অ্যাপ স্টোর হিসাবে জাহির করা ওয়েবসাইটের মাধ্যমে ছড়িয়ে পড়ে।

MMRat ম্যালওয়্যার বহনকারী প্রতারণামূলক অ্যাপ্লিকেশনগুলি সন্দেহাতীত শিকারদের দ্বারা ডাউনলোড এবং ইনস্টল করা হয়। প্রায়শই, এই অ্যাপ্লিকেশনগুলি সরকারি অ্যাপ্লিকেশন বা ডেটিং প্ল্যাটফর্মের ছদ্মবেশ ধারণ করে। পরবর্তীকালে, ইনস্টলেশনের সময়, অ্যাপ্লিকেশনগুলি অ্যান্ড্রয়েডের অ্যাক্সেসিবিলিটি পরিষেবায় অ্যাক্সেস সহ প্রয়োজনীয় অনুমতিগুলি পাওয়ার জন্য অনুরোধ করে।

অ্যাক্সেসিবিলিটি বৈশিষ্ট্যের সুবিধা গ্রহণ করে, ম্যালওয়্যার স্বয়ংক্রিয়ভাবে নিজের জন্য অতিরিক্ত অনুমতিগুলি সুরক্ষিত করে। এটি MMRat-কে আপস করা ডিভাইসে বিস্তৃত ক্ষতিকারক কার্যকলাপ চালানোর অনুমতি দেয়।

MMRat সাইবার অপরাধীদের অসংখ্য ডিভাইস ফাংশন নিয়ন্ত্রণ করার অনুমতি দেয়

একবার MMRat একটি Android ডিভাইসে অ্যাক্সেস লাভ করলে, এটি একটি C2 সার্ভারের সাথে যোগাযোগ স্থাপন করে এবং নিষ্ক্রিয় সময়ের জন্য ডিভাইসের কার্যকলাপ নিরীক্ষণ করে। এই বিরতির সময়, আক্রমণকারীরা ডিভাইসটিকে দূরবর্তীভাবে জাগ্রত করতে, এটিকে আনলক করতে এবং রিয়েল-টাইম ব্যাঙ্ক জালিয়াতি করতে অ্যাক্সেসিবিলিটি পরিষেবাকে কাজে লাগায়।

MMRat-এর মূল ফাংশনগুলির মধ্যে রয়েছে নেটওয়ার্ক, স্ক্রীন এবং ব্যাটারি ডেটা সংগ্রহ করা, ব্যবহারকারীর পরিচিতি এবং অ্যাপ্লিকেশন তালিকাগুলি বের করা, কীলগিংয়ের মাধ্যমে ব্যবহারকারীর ইনপুট ক্যাপচার করা, MediaProjection API-এর মাধ্যমে রিয়েল-টাইম স্ক্রীন সামগ্রী জব্দ করা, রেকর্ডিং এবং লাইভ-স্ট্রিমিং ক্যামেরা ডেটা, পাঠ্যে স্ক্রীন ডেটা ডাম্প করা। C2 সার্ভারে ফর্ম, এবং শেষ পর্যন্ত সংক্রমণের চিহ্ন মুছে ফেলার জন্য নিজেকে আনইনস্টল করে।

রিয়েল-টাইম স্ক্রীন বিষয়বস্তু ক্যাপচার করার এবং 'ইউজার টার্মিনাল স্টেট' থেকে টেক্সট ডেটা বের করার ক্ষমতার জন্য MMRat-এর দক্ষ ডেটা ট্রান্সমিশন গুরুত্বপূর্ণ। কার্যকর ব্যাঙ্ক জালিয়াতি সক্ষম করতে, ম্যালওয়্যারের লেখকরা ডেটা এক্সফিল্ট্রেশনের জন্য একটি কাস্টম প্রোটোবাফ প্রোটোকল ডিজাইন করেছেন৷

MMRat আক্রমণকারীর সার্ভারে পৌঁছানোর জন্য একটি অস্বাভাবিক যোগাযোগ প্রযুক্তি ব্যবহার করে

MMRat একটি স্বতন্ত্র কমান্ড অ্যান্ড কন্ট্রোল (C2) সার্ভার প্রোটোকল ব্যবহার করে যা প্রোটোকল বাফার (প্রোটোবুফ) নামে পরিচিত তা ব্যবহার করে সুবিন্যস্ত ডেটা স্থানান্তর সহজতর করার জন্য - এটি অ্যান্ড্রয়েড ট্রোজানের রাজ্যের মধ্যে একটি বিরলতা৷ প্রোটোবাফ, Google দ্বারা তৈরি একটি ডেটা সিরিয়ালাইজেশন কৌশল, XML এবং JSON এর মতোই কাজ করে কিন্তু এটি একটি ছোট এবং দ্রুততর পদচিহ্ন নিয়ে গর্ব করে৷

MMRat C2 এর সাথে তার মিথস্ক্রিয়াগুলির জন্য বিভিন্ন পোর্ট এবং প্রোটোকল নিয়োগ করে। এগুলি ডেটা এক্সফিল্ট্রেশনের জন্য পোর্ট 8080-এ HTTP, ভিডিও স্ট্রিমিংয়ের জন্য RTSP এবং পোর্ট 8554, এবং কমান্ড এবং নিয়ন্ত্রণের জন্য পোর্ট 8887-এ একটি ব্যক্তিগতকৃত প্রোটোবাফ বাস্তবায়ন অন্তর্ভুক্ত করে।

C&C প্রোটোকলের স্বতন্ত্রতা নিহিত যে এটি Netty, একটি নেটওয়ার্ক অ্যাপ্লিকেশন ফ্রেমওয়ার্ক এবং পূর্বে উল্লিখিত Protobuf ব্যবহার করার জন্য তৈরি করা হয়েছে। এটি সুগঠিত বার্তাগুলিকেও অন্তর্ভুক্ত করে। C&C যোগাযোগের মধ্যে, হুমকি অভিনেতা সমস্ত বার্তার ধরন এবং স্বতন্ত্র ডেটা বিভাগগুলিকে বোঝাতে "একটি" কীওয়ার্ড মূর্ত করার জন্য একটি বিস্তৃত কাঠামো গ্রহণ করে।

Protobuf এর দক্ষতার বাইরে, কাস্টম প্রোটোকলের ব্যবহার নেটওয়ার্ক সুরক্ষা সরঞ্জামগুলির বিরুদ্ধে ফাঁকি দেয় যা সাধারণত ইতিমধ্যে পরিচিত হুমকির স্বীকৃত প্যাটার্নগুলি সনাক্ত করে। Protobuf এর বহুমুখীতার জন্য ধন্যবাদ MMRat এর নির্মাতাদের তাদের বার্তা কাঠামো সংজ্ঞায়িত করার এবং ডেটা ট্রান্সমিশন পদ্ধতিগুলি নিয়ন্ত্রণ করার স্বাধীনতা রয়েছে। ইতিমধ্যে, এর পদ্ধতিগত নকশা গ্যারান্টি দেয় যে প্রেরিত ডেটা পূর্বনির্ধারিত ডিজাইনগুলি মেনে চলে, প্রাপ্তির পরে দুর্নীতির সম্ভাবনা হ্রাস করে।

MMRat মোবাইল থ্রেট অ্যান্ড্রয়েড ব্যাঙ্কিং ট্রোজানগুলির ক্রমবর্ধমান জটিলতা প্রদর্শন করে, সাইবার অপরাধীরা দক্ষতার সাথে কার্যকর ডেটা পুনরুদ্ধার কৌশলগুলির সাথে বিচক্ষণ ক্রিয়াকলাপগুলিকে একত্রিত করে৷