পার্সিয়াস ব্যাংকিং ম্যালওয়্যার

সাইবার নিরাপত্তা বিশ্লেষকরা পার্সিয়াস অ্যান্ড্রয়েড ম্যালওয়্যার নামে একটি নতুন অ্যান্ড্রয়েড ম্যালওয়্যার পরিবার শনাক্ত করেছেন, যা ডিভাইস দখল (DTO) এবং আর্থিক জালিয়াতি চালানোর জন্য সক্রিয়ভাবে ব্যবহৃত হচ্ছে। এই হুমকিটি মোবাইল ম্যালওয়্যারের ক্ষেত্রে একটি উল্লেখযোগ্য বিবর্তন, যা প্রতিষ্ঠিত কৌশলগুলোর সাথে উন্নত কার্যক্ষম নমনীয়তাকে একত্রিত করেছে।

প্রমাণিত ম্যালওয়্যার বংশধারা থেকে বিবর্তন

পার্সিয়াস তৈরি হয়েছে সারবেরাস ম্যালওয়্যার এবং ফিনিক্স অ্যান্ড্রয়েড ম্যালওয়্যারের ভিত্তির ওপর, যে দুটিই সুপরিচিত অ্যান্ড্রয়েড ব্যাংকিং ট্রোজান। ২০১৯ সালের আগস্টে প্রথম নথিভুক্ত হওয়া সারবেরাস, অ্যান্ড্রয়েডের অ্যাক্সেসিবিলিটি সার্ভিসের অপব্যবহার করে প্রিভিলেজ বৃদ্ধি করত, সংবেদনশীল ডেটা সংগ্রহ করত এবং ক্রেডেনশিয়াল চুরির জন্য ওভারলে অ্যাটাক চালাত। ২০২০ সালে এর সোর্স কোড ফাঁস হয়ে যাওয়ার পর, এলিয়েন, ইআরএমএসি এবং ফিনিক্স সহ এর একাধিক ডেরিভেটিভের উদ্ভব ঘটে।

পার্সিয়াস ফিনিক্স কোডবেসকে সম্প্রসারিত করে একটি আরও অভিযোজনযোগ্য ও সক্ষম প্ল্যাটফর্মে পরিণত হয়েছে। ব্যাপক ইন-অ্যাপ লগিং এবং অস্বাভাবিক কোড আর্টিফ্যাক্টের মতো সূচকগুলো থেকে বোঝা যায় যে, হুমকি সৃষ্টিকারীরা ডেভেলপমেন্টের সময় লার্জ ল্যাঙ্গুয়েজ মডেল (LLM)-এর সহায়তা নিয়ে থাকতে পারে।

সংক্রমণের বাহক: আইপিটিভি অ্যাপ্লিকেশনের মাধ্যমে সোশ্যাল ইঞ্জিনিয়ারিং

বিতরণ কৌশলটি মূলত সোশ্যাল ইঞ্জিনিয়ারিংয়ের ওপর নির্ভরশীল। পার্সিয়াস ফিশিং ওয়েবসাইটে হোস্ট করা ড্রপার অ্যাপ্লিকেশনের মাধ্যমে ছড়ানো হয়, যা প্রায়শই আইপিটিভি পরিষেবা হিসেবে ছদ্মবেশ ধারণ করে। এই পদ্ধতিটি ম্যাসিভ অ্যান্ড্রয়েড ম্যালওয়্যারের সাথে যুক্ত ক্যাম্পেইনগুলোর অনুরূপ, যা প্রিমিয়াম স্ট্রিমিং কন্টেন্টে অননুমোদিত অ্যাক্সেস প্রত্যাশী ব্যবহারকারীদের লক্ষ্য করে।

আপাতদৃষ্টিতে বৈধ আইপিটিভি অ্যাপের মধ্যে ক্ষতিকারক পেলোড ঢুকিয়ে দিয়ে আক্রমণকারীরা ব্যবহারকারীদের সন্দেহ কমিয়ে দেয় এবং সংক্রমণের সফলতার হার উল্লেখযোগ্যভাবে বাড়িয়ে তোলে। এই অভিযানটি মূলত তুরস্ক, ইতালি, পোল্যান্ড, জার্মানি, ফ্রান্স, সংযুক্ত আরব আমিরাত এবং পর্তুগালসহ একাধিক অঞ্চলের ব্যবহারকারীদের লক্ষ্যবস্তু করেছে।

ম্যালওয়্যার স্থাপন শৃঙ্খল এবং পরিচিত নিদর্শন

পার্সিয়াস বিতরণ বাস্তুতন্ত্রের অংশ হিসেবে বেশ কয়েকটি অ্যাপ্লিকেশন চিহ্নিত করা হয়েছে:

• রোজা অ্যাপ ডাইরেক্টা (com.xcvuc.ocnsxn)- ড্রপার অ্যাপ্লিকেশন
• TvTApp (com.tvtapps.live) – প্রাথমিক পার্সিয়াস পেলোড
• পলবক্স টিভি (com.streamview.players) – সেকেন্ডারি পেলোড ভ্যারিয়েন্ট

এই অ্যাপ্লিকেশনগুলো আক্রান্ত ডিভাইসগুলোতে ম্যালওয়্যার ইনস্টল করার প্রবেশপথ হিসেবে কাজ করে।

উন্নত ডিভাইস দখলের ক্ষমতা

পার্সিয়াস অ্যান্ড্রয়েড অ্যাক্সেসিবিলিটি পরিষেবা ব্যবহার করে রিমোট সেশন স্থাপন করে, যা সংক্রমিত ডিভাইসগুলির রিয়েল-টাইম পর্যবেক্ষণ এবং সেগুলির সাথে সুনির্দিষ্ট মিথস্ক্রিয়া সক্ষম করে। এই কার্যকারিতা ডিভাইসটির সম্পূর্ণ নিয়ন্ত্রণ নিতে সাহায্য করে, যার ফলে আক্রমণকারীরা ব্যবহারকারীর কার্যকলাপের উপর ব্যাপক নিয়ন্ত্রণ লাভ করে।

প্রচলিত ব্যাংকিং ট্রোজানগুলোর থেকে ভিন্ন, পার্সিয়াস শুধু ক্রেডেনশিয়াল সংগ্রহের মধ্যেই সীমাবদ্ধ থাকে না, এটি নোট-নেওয়ার অ্যাপ্লিকেশনগুলোও সক্রিয়ভাবে পর্যবেক্ষণ করে। এই আচরণটি উচ্চ-মূল্যের ব্যক্তিগত এবং আর্থিক তথ্য আহরণের একটি সুচিন্তিত লক্ষ্য নির্দেশ করে, যা হয়তো প্রচলিত ক্রেডেনশিয়াল ফিল্ডে সংরক্ষিত থাকে না।

মূল আক্রমণ কৌশল: ওভারলে এবং ইনপুট ইন্টারসেপশন

একবার সক্রিয় হলে, পার্সিয়াস অ্যান্ড্রয়েড ব্যাংকিং ম্যালওয়্যারের প্রচলিত কৌশলগুলো ব্যবহার করে। এটি বৈধ ব্যাংকিং এবং ক্রিপ্টোকারেন্সি অ্যাপ্লিকেশনের উপর প্রতারণামূলক ইন্টারফেস দেখানোর জন্য ওভারলে অ্যাটাক চালায় এবং রিয়েল টাইমে ব্যবহারকারীর ক্রেডেনশিয়াল সংগ্রহ করে। এছাড়াও, সংবেদনশীল ইনপুট ডেটা প্রবেশ করানোর সাথে সাথেই তা আটকানোর জন্য কীস্ট্রোক লগিং ব্যবহার করা হয়।

কমান্ড-অ্যান্ড-কন্ট্রোল অপারেশন: রিমোট ম্যানিপুলেশন ফ্রেমওয়ার্ক

ম্যালওয়্যারটি একটি কমান্ড-অ্যান্ড-কন্ট্রোল (C2) পরিকাঠামোর মাধ্যমে নিয়ন্ত্রিত হয়, যা অপারেটরদের কমান্ড জারি করতে, ডিভাইসের আচরণ পরিবর্তন করতে এবং প্রতারণামূলক লেনদেন অনুমোদন করতে সক্ষম করে। প্রধান সমর্থিত কমান্ডগুলো হলো:

• তথ্য আহরণ ও নজরদারি (যেমন, গুগল কিপ, এভারনোট এবং মাইক্রোসফট ওয়াননোটের মতো অ্যাপ থেকে নোট সংগ্রহ করা)
• রিয়েল-টাইম বা কাঠামোগত UI ইন্টারঅ্যাকশনের জন্য VNC এবং HVNC-এর মাধ্যমে রিমোট সেশন ম্যানেজমেন্ট।
• অ্যাক্সেসিবিলিটি পরিষেবা ব্যবহার করে স্ক্রিনশট ক্যাপচার
• অ্যাপ্লিকেশন নিয়ন্ত্রণ, যার মধ্যে অ্যাপ চালু করা বা বিধিনিষেধ অপসারণ করা অন্তর্ভুক্ত।
• ব্যবহারকারীকে ধোঁকা দেওয়ার কৌশল যেমন কালো স্ক্রিন ওভারলে এবং অডিও মিউট করা
• অজানা উৎস থেকে জোরপূর্বক ইনস্টলেশন এবং নকল ব্যবহারকারী মিথস্ক্রিয়া

এই ব্যাপক কমান্ড সেট আক্রমণকারীদেরকে হ্যাক হওয়া ডিভাইসগুলোর ওপর স্থায়ী ও গোপন নিয়ন্ত্রণ বজায় রাখতে সক্ষম করে।

এড়ানোর কৌশল এবং পরিবেশ সচেতনতা

শনাক্তকরণ এড়ানোর জন্য পার্সিয়াস উন্নত বিশ্লেষণ-বিরোধী কৌশল ব্যবহার করে। এটি একটি আসল ডিভাইসে এর কার্যকারিতা নিশ্চিত করতে ব্যাপক পরিবেশগত পরীক্ষা চালায়, যার মধ্যে রয়েছে ডিবাগিং টুল শনাক্ত করা, সিম কার্ডের উপস্থিতি যাচাই করা, ইনস্টল করা অ্যাপ্লিকেশনের সংখ্যা বিশ্লেষণ করা এবং ব্যাটারির মেট্রিক্স যাচাই করা।

ম্যালওয়্যারটি এই ডেটা একত্রিত করে একটি 'সন্দেহজনক স্কোর' তৈরি করে, যা C2 সার্ভারে পাঠানো হয়। এই স্কোরের উপর ভিত্তি করে, অপারেটররা সিদ্ধান্ত নেন যে তারা আরও এক্সপ্লয়টেশন চালাবেন, নাকি শনাক্ত হওয়া এড়াতে নিষ্ক্রিয় থাকবেন।

কৌশলগত প্রভাব: বিবর্তনের মাধ্যমে দক্ষতা

পার্সিয়াস অ্যান্ড্রয়েড ম্যালওয়্যারের চলমান বিবর্তনের একটি উৎকৃষ্ট উদাহরণ, যেখানে নতুন হুমকিগুলো একেবারে গোড়া থেকে তৈরি করার পরিবর্তে ক্রমবর্ধমানভাবে বিদ্যমান কাঠামোর উপর ভিত্তি করে নির্মিত হচ্ছে। সারবেরাস এবং ফিনিক্স থেকে উত্তরাধিকারসূত্রে প্রাপ্ত সক্ষমতার সাথে নোট পর্যবেক্ষণ এবং উন্নত রিমোট কন্ট্রোলের মতো নির্দিষ্ট কিছু বর্ধিত বৈশিষ্ট্যকে একত্রিত করে পার্সিয়াস কার্যকারিতা এবং উদ্ভাবনের মধ্যে একটি ভারসাম্য অর্জন করেছে।

এই পদ্ধতিটি সাইবার অপরাধের একটি বৃহত্তর প্রবণতাকে প্রতিফলিত করে: অভিযোজনযোগ্যতা, পরিবর্ধনযোগ্যতা এবং উচ্চ-মূল্যের তথ্য আহরণকে অগ্রাধিকার দেওয়া, যা আধুনিক ম্যালওয়্যার অভিযানগুলোকে আরও কার্যকর এবং শনাক্ত করা আরও কঠিন করে তুলছে।