নেক্রো ট্রোজান
2019 সালে, সাইবারসিকিউরিটি গবেষকরা একটি উদ্বেগজনক সমস্যা উন্মোচন করেছিলেন: Google Play Store-এ একটি বৈধ অ্যান্ড্রয়েড অ্যাপ্লিকেশন বিজ্ঞাপনের আয় জেনারেট করতে ডেভেলপারদের দ্বারা ব্যবহৃত তৃতীয় পক্ষের লাইব্রেরির দ্বারা আপস করা হয়েছিল। এই পরিবর্তনের ফলে আক্রমণকারীদের দ্বারা নিয়ন্ত্রিত সার্ভারের সাথে 100 মিলিয়ন ডিভাইস সংযুক্ত হয়েছে, যা পরে লুকানো পেলোড স্থাপন করেছে।
একই অবস্থা এখন আবার দেখা দিয়েছে। Infosec বিশেষজ্ঞরা Google Play থেকে 11 মিলিয়ন বার ডাউনলোড করা দুটি নতুন অ্যাপ্লিকেশন সনাক্ত করেছেন, যেগুলি একই ম্যালওয়্যার পরিবার দ্বারা সংক্রামিত। এটি প্রদর্শিত হয় যে বিজ্ঞাপন বৈশিষ্ট্যগুলিকে সংহত করতে ব্যবহৃত একটি অনিরাপদ সফ্টওয়্যার ডেভেলপমেন্ট কিট আবারও দায়ী।
সুচিপত্র
একটি SDK কি?
সফ্টওয়্যার ডেভেলপমেন্ট কিট, বা SDK, ডেভেলপারদের পূর্ব-নির্মিত ফ্রেমওয়ার্ক অফার করে যা রুটিন কাজগুলি পরিচালনা করে অ্যাপ্লিকেশন তৈরির প্রক্রিয়াটিকে সহজ করে এবং ত্বরান্বিত করে। এই ক্ষেত্রে, একটি অযাচাই করা SDK মডিউল, আপাতদৃষ্টিতে বিজ্ঞাপন প্রদর্শন সমর্থন করার জন্য ডিজাইন করা হয়েছে, অ্যাপ্লিকেশনগুলিতে একত্রিত করা হয়েছে৷ যাইহোক, পৃষ্ঠের নীচে, এটি আপোসকৃত সার্ভারগুলির সাথে গোপনে যোগাযোগের জন্য উন্নত পদ্ধতিগুলিকে সক্ষম করেছে৷ এটি অ্যাপ্লিকেশনগুলিকে ব্যবহারকারীর ডেটা আপলোড করতে এবং ক্ষতিকারক কোড ডাউনলোড করার অনুমতি দেয়, যা যে কোনও সময় কার্যকর বা আপডেট করা যেতে পারে।
কিভাবে Necro Trojans ডিভাইস সংক্রমিত?
উভয় প্রচারণার পিছনে থাকা ম্যালওয়্যার পরিবারটিকে নেক্রো বলা হয়, এবং এই উদাহরণে, কিছু ভেরিয়েন্ট স্টেগানোগ্রাফির মতো উন্নত কৌশল ব্যবহার করে - মোবাইল হুমকির ক্ষেত্রে একটি বিরল অস্পষ্ট পদ্ধতি। কিছু ভেরিয়েন্ট উন্নত সিস্টেমের বিশেষাধিকারের সাথে অপারেটিং করতে সক্ষম জালিয়াতি কোড সরবরাহ করতে অত্যাধুনিক পদ্ধতি ব্যবহার করে। একবার একটি ডিভাইস সংক্রমিত হলে, এটি একটি আক্রমণকারী-নিয়ন্ত্রিত কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে। এটি এনক্রিপ্ট করা JSON ডেটা পাঠায় যা আপস করা ডিভাইস এবং প্রতারণামূলক মডিউল হোস্ট করা অ্যাপ্লিকেশন সম্পর্কে বিশদ প্রতিবেদন করে।
সার্ভার তারপর একটি JSON বার্তার সাথে প্রতিক্রিয়া জানায় যাতে একটি PNG চিত্রের একটি লিঙ্ক এবং চিত্রের হ্যাশ ধারণকারী মেটাডেটা অন্তর্ভুক্ত থাকে। যদি সংক্রামিত ডিভাইসের মডিউল হ্যাশ যাচাই করে, তবে এটি ছবিটি ডাউনলোড করতে এগিয়ে যায়।
গবেষকরা ব্যাখ্যা করেছেন যে SDK মডিউল একটি সাধারণ স্টেগানোগ্রাফিক অ্যালগরিদম ব্যবহার করে। MD5 চেক পাস করার পরে, এটি স্ট্যান্ডার্ড অ্যান্ড্রয়েড টুল ব্যবহার করে PNG ফাইলের বিষয়বস্তু, বিশেষ করে ARGB চ্যানেল থেকে পিক্সেল মানগুলি বের করে। getPixel পদ্ধতিটি এমন একটি মান পুনরুদ্ধার করে যেখানে সর্বনিম্ন উল্লেখযোগ্য বাইটে চিত্রের নীল চ্যানেল থাকে এবং ম্যালওয়্যারটি সেখান থেকে প্রক্রিয়াকরণ শুরু করে।
নেক্রো ট্রোজান মারাত্মক পরিণতির দিকে নিয়ে যেতে পারে
ম্যালওয়্যার দ্বারা ইনস্টল করা ফলো-অন পেলোডগুলি প্রতারণামূলক প্লাগইন ডাউনলোড করে যা প্রতিটি সংক্রামিত ডিভাইসের জন্য বিভিন্ন ক্রিয়া সম্পাদনের জন্য কাস্টমাইজ করা যেতে পারে। এই ধরনের একটি প্লাগইন উন্নত সিস্টেমের সুবিধার সাথে কোড চালানোর অনুমতি দেয়। সাধারনত, অ্যান্ড্রয়েড বিশেষাধিকারপ্রাপ্ত প্রক্রিয়াগুলিকে ওয়েবভিউ ব্যবহার করতে বাধা দেয়—অ্যাপ্লিকেশানগুলির মধ্যে ওয়েব পৃষ্ঠাগুলি প্রদর্শনের জন্য একটি উপাদান৷ এই সীমাবদ্ধতা কাটিয়ে ওঠার জন্য, নেক্রো ওয়েবভিউ কারখানার একটি পৃথক ঘটনা তৈরি করতে একটি প্রতিফলন আক্রমণ হিসাবে পরিচিত একটি কৌশল নিয়োগ করে।
অতিরিক্তভাবে, এই প্লাগইনটি অন্যান্য ফাইল ডাউনলোড এবং কার্যকর করতে পারে যা WebView এর মাধ্যমে প্রদর্শিত লিঙ্কগুলিকে সংশোধন করে। উন্নত সিস্টেম অধিকারের সাথে, এই এক্সিকিউটেবলগুলি পেইড সাবস্ক্রিপশনের জন্য নিশ্চিতকরণ কোড সন্নিবেশ করতে এবং আক্রমণকারী-নিয়ন্ত্রিত লিঙ্কগুলি থেকে কোড ডাউনলোড এবং চালাতে URLগুলি পরিবর্তন করতে পারে। গবেষকরা তাদের নেক্রো বিশ্লেষণের সময় পাঁচটি স্বতন্ত্র পেলোড চিহ্নিত করেছেন। এছাড়াও, নেক্রোর মডুলার কাঠামো ম্যালওয়্যার পরিচালনা করার জন্য অসংখ্য উপায় প্রদান করে।
নেক্রো ট্রোজান দুটি অ্যাপ্লিকেশনে পাওয়া গেছে
গবেষকরা গুগল প্লেতে দুটি অ্যাপ্লিকেশনে নেক্রো শনাক্ত করেছেন। তাদের মধ্যে একটি, Wuta ক্যামেরা, 10 মিলিয়ন ডাউনলোড অর্জন করেছে। Wuta ক্যামেরার 6.3.2.148 থেকে 6.3.6.148 সংস্করণগুলিতে সংক্রমণের জন্য দায়ী দূষিত SDK রয়েছে, কিন্তু ক্ষতিকারক উপাদানটি নির্মূল করার জন্য অ্যাপ্লিকেশনটি আপডেট করা হয়েছে৷ আরেকটি অ্যাপ্লিকেশন, ম্যাক্স ব্রাউজার, প্রায় 1 মিলিয়ন ডাউনলোড সহ, এছাড়াও আপস করা হয়েছিল; যাইহোক, এটি আর Google Play এ উপলব্ধ নেই৷
উপরন্তু, গবেষকরা আবিষ্কার করেছেন যে নেক্রো বিকল্প মার্কেটপ্লেসে দেওয়া বিভিন্ন অ্যান্ড্রয়েড অ্যাপ্লিকেশনকে সংক্রমিত করছে। এই অ্যাপ্লিকেশনগুলি সাধারণত স্পটিফাই, মাইনক্রাফ্ট, হোয়াটসঅ্যাপ, স্টুম্বল গাইস, কার পার্কিং মাল্টিপ্লেয়ার এবং মেলন স্যান্ডবক্স সহ বৈধ অ্যাপ্লিকেশনগুলির পরিবর্তিত সংস্করণ হিসাবে উপস্থাপন করা হয়।
