PixPirate ব্যাংকিং ট্রোজান

2024 সালের ফেব্রুয়ারিতে, সাইবারসিকিউরিটি গবেষকরা PixPirate নামে ট্র্যাক করা একটি পূর্বে অজানা Android ম্যালওয়ারের অস্তিত্বের কথা তুলে ধরেন। এই হুমকি ল্যাটিন আমেরিকার ব্যাঙ্কগুলির বিরুদ্ধে লক্ষ্যবস্তু আক্রমণে মোতায়েন করা হয়েছে৷ বর্তমানে, বিশেষজ্ঞরা সতর্ক করেছেন যে PixPirate ব্যাঙ্কিং ট্রোজানের একটি আপডেট হওয়া পুনরাবৃত্তি সামনে এসেছে, এতে একটি নতুন স্টিলথ কৌশল রয়েছে যা এটির ড্রপার অ্যাপ্লিকেশন মুছে ফেলার পরেও ডিভাইসে টিকে থাকতে সক্ষম করে।

PixPirate ভিকটিমদের অ্যান্ড্রয়েড ফোন থেকে ব্যাঙ্কিং তথ্য সংগ্রহ করতে দুটি ভিন্ন অ্যাপ্লিকেশন ব্যবহার করে

গবেষকরা ম্যালওয়্যার দ্বারা নিযুক্ত প্রচলিত কৌশল থেকে একটি উল্লেখযোগ্য প্রস্থান লক্ষ্য করেছেন, বিশেষ করে PixPirate এর সাথে। সাধারণ ম্যালওয়্যার থেকে ভিন্ন যা তার আইকন লুকানোর চেষ্টা করে, 9 পর্যন্ত অ্যান্ড্রয়েড সংস্করণে একটি কৌশল সম্ভব, PixPirate পরিবর্তে একটি লঞ্চার আইকন পুরোপুরি ব্যবহার করে না। এই অনন্য পদ্ধতিটি ম্যালওয়্যারটিকে সাম্প্রতিক অ্যান্ড্রয়েড সিস্টেমে লুকিয়ে রাখতে সক্ষম করে, যা 14 সংস্করণ পর্যন্ত প্রসারিত করে। যাইহোক, একটি আইকনের অনুপস্থিতি আরেকটি চ্যালেঞ্জ উপস্থাপন করে: ক্ষতিগ্রস্থদের ম্যালওয়্যার শুরু করার জন্য কোন উপায় প্রদান না করা। এই সমস্যাটি এড়ানোর জন্য, PixPirate দুটি স্বতন্ত্র অ্যাপ্লিকেশন নিযুক্ত করে যা সংক্রামিত ডিভাইসগুলি থেকে সংবেদনশীল ডেটা সংগ্রহ করতে কাজ করে।

প্রাথমিক অ্যাপ্লিকেশন, 'ডাউনলোডার' হিসাবে উল্লেখ করা হয়, এটি APK (Android প্যাকেজ ফাইল) হিসাবে ছড়িয়ে পড়ে এবং WhatsApp বা SMS এর মত প্ল্যাটফর্মে ফিশিং বার্তার মাধ্যমে বিতরণ করা হয়। ইনস্টলেশনের পরে, এই ডাউনলোডার অ্যাপ্লিকেশনটি অ্যাক্সেসযোগ্যতা পরিষেবা সহ উচ্চ-ঝুঁকির অনুমতিগুলিতে অ্যাক্সেসের অনুরোধ করে। পরবর্তীকালে, এটি এনক্রিপ্ট করা PixPirate ব্যাঙ্কিং ম্যালওয়্যার, 'ড্রপপি' নামক দ্বিতীয় অ্যাপ্লিকেশনটি আনয়ন এবং ইনস্টল করতে এগিয়ে যায়।

'ড্রপপি' অ্যাপ্লিকেশনটি এর ম্যানিফেস্টে 'android.intent.action.MAIN' এবং 'android.intent.category.LAUNCHER' সহ একটি প্রাথমিক কার্যকলাপ ঘোষণা করা থেকে বিরত থাকে, যার ফলে হোম স্ক্রিনে একটি আইকনের অনুপস্থিতি নিশ্চিত করে, এটি সম্পূর্ণরূপে রেন্ডার করে অদৃশ্য পরিবর্তে, ড্রপপি অ্যাপ্লিকেশনটি এমন একটি পরিষেবা রপ্তানি করে যা অন্য অ্যাপ্লিকেশনগুলি অ্যাক্সেস করতে পারে। ডাউনলোডার প্রয়োজন অনুযায়ী PixPirate ম্যালওয়্যার চালু করার জন্য এই পরিষেবার সাথে একটি সংযোগ স্থাপন করে।

বিভিন্ন ট্রিগার PixPirate ব্যাঙ্কিং ট্রোজানের কার্য সম্পাদন শুরু করতে পারে

ম্যালওয়্যার শুরু এবং নিয়ন্ত্রণ করার জন্য ড্রপার অ্যাপ্লিকেশনের ক্ষমতা ছাড়াও, PixPirate বিভিন্ন সিস্টেম ইভেন্ট দ্বারাও ট্রিগার হতে পারে, যেমন ডিভাইস বুটিং বা সংযোগে পরিবর্তন, যা এটি সক্রিয়ভাবে পর্যবেক্ষণ করে। এটি PixPirate কে শিকারের ডিভাইসের পটভূমিতে গোপনে কাজ করতে সক্ষম করে।

PixPirate-এর droppee কম্পোনেন্টে 'com.companian.date.sepherd' নামে একটি পরিষেবা রয়েছে, যা রপ্তানি করা হয় এবং কাস্টম অ্যাকশন 'com.ticket.stage.Service' ব্যবহার করে একটি ইন্টেন্ট ফিল্টার দিয়ে সজ্জিত। যখন ডাউনলোডার ড্রপপি সক্রিয় করতে চায়, তখন এটি 'BIND_AUTO_CREATE' পতাকা সহ 'BindService' API ব্যবহার করে এই পরিষেবার সাথে একটি সংযোগ স্থাপন করে। এই ক্রিয়াকলাপের ফলে ড্রপপি পরিষেবা তৈরি এবং কার্যকর করা হয়।

ড্রপপি পরিষেবা তৈরি এবং বাঁধাই করার প্রক্রিয়া অনুসরণ করে, ড্রপপি APK চালু হয় এবং এর কার্যক্রম শুরু করে। এই মুহুর্তে, এমনকি ভিকটিম ডিভাইস থেকে ডাউনলোডার অ্যাপ্লিকেশনটি সরিয়ে দিলেও, PixPirate তার ক্রিয়াকলাপ বজায় রাখতে পারে, বিভিন্ন ডিভাইস ইভেন্ট দ্বারা ট্রিগার করা, কার্যকরভাবে ব্যবহারকারীর কাছ থেকে তার উপস্থিতি গোপন করে।

PixPirate পিক্স পেমেন্ট প্ল্যাটফর্মকে বিশেষভাবে লক্ষ্য করে

ম্যালওয়্যারটি বিশেষভাবে ব্রাজিলের Pix তাত্ক্ষণিক অর্থপ্রদানের প্ল্যাটফর্মকে লক্ষ্য করে, যার লক্ষ্য হল প্রতারণামূলক লেনদেনগুলিকে আটকে বা শুরু করে আক্রমণকারীদের কাছে তহবিল পাঠানো। পিক্স ব্রাজিলে উল্লেখযোগ্য জনপ্রিয়তা অর্জন করেছে, মার্চ 2023 পর্যন্ত 140 মিলিয়ন ব্যবহারকারীর লেনদেন $250 বিলিয়ন ছাড়িয়ে গেছে।

PixPirate ব্যবহারকারীর শংসাপত্র এবং দ্বি-ফ্যাক্টর প্রমাণীকরণ কোড ক্যাপচার করা থেকে শুরু করে অননুমোদিত Pix মানি ট্রান্সফার চালানো, সমস্ত প্রতারণামূলক প্রক্রিয়া স্বয়ংক্রিয় করতে রিমোট অ্যাকসেস ট্রোজান (RAT) ক্ষমতা ব্যবহার করে, ব্যবহারকারীর সচেতনতা ছাড়াই। যাইহোক, এই কাজগুলি অর্জনের জন্য অ্যাক্সেসিবিলিটি পরিষেবার অনুমতি নেওয়া প্রয়োজন৷

উপরন্তু, PixPirate একটি ফলব্যাক ম্যানুয়াল কন্ট্রোল মেকানিজমকে অন্তর্ভুক্ত করে যেখানে স্বয়ংক্রিয় পদ্ধতি ব্যর্থ হয়, আক্রমণকারীদের ডিভাইসে জালিয়াতি করার বিকল্প উপায় প্রদান করে। গবেষকরা পুশ নোটিফিকেশন ম্যালভার্টাইজিং-এর ম্যালওয়ারের ব্যবহার এবং অ্যান্ড্রয়েড প্ল্যাটফর্মের একটি মৌলিক নিরাপত্তা বৈশিষ্ট্য Google Play Protect অক্ষম করার ক্ষমতাও তুলে ধরেছেন।

যদিও PixPirate দ্বারা নিযুক্ত সংক্রমণের পদ্ধতিটি যুগান্তকারী নয় এবং অননুমোদিত APK ডাউনলোড করা থেকে বিরত থাকার মাধ্যমে এটিকে প্রশমিত করা যেতে পারে, এটির কৌশলগুলি গ্রহণ করা যেমন একটি আইকনের অনুপস্থিতি এবং সিস্টেম ইভেন্টগুলির সাথে আবদ্ধ পরিষেবাগুলির নিবন্ধন একটি সম্পর্কিত এবং অভিনব পদ্ধতির প্রতিনিধিত্ব করে৷