Rocinante মোবাইল ম্যালওয়্যার
একটি নতুন ম্যালওয়্যার প্রচারাভিযান ব্রাজিলের মোবাইল ব্যবহারকারীদের লক্ষ্য করে, রোকিনান্টে নামে একটি অ্যান্ড্রয়েড ব্যাঙ্কিং ট্রোজান স্থাপন করে৷ এই ম্যালওয়্যারটি অ্যাক্সেসিবিলিটি সার্ভিসকে কাজে লাগিয়ে কীস্ট্রোক লগ করতে পারে এবং বিভিন্ন ব্যাঙ্কের নকল করে এমন ফিশিং স্ক্রিনের মাধ্যমে ক্ষতিগ্রস্তদের কাছ থেকে ব্যক্তিগত শনাক্তযোগ্য তথ্য (PII) সংগ্রহ করতে পারে। উপরন্তু, এটি সংক্রামিত ডিভাইসে সম্পূর্ণ দূরবর্তী অ্যাক্সেস পেতে অ্যাক্সেসিবিলিটি পরিষেবার সুবিধাগুলি ব্যবহার করে ডিভাইসটি দখল করতে চুরি করা ডেটা ব্যবহার করে।
সুচিপত্র
বৈধ অ্যাপ্লিকেশন হিসাবে মাস্করাডিং
ম্যালওয়্যারটি Itaú Shop এবং Santander সহ বেশ কয়েকটি বিশিষ্ট আর্থিক প্রতিষ্ঠানকে টার্গেট করছে, অন্যদের মধ্যে Bradesco Prime এবং Correios Cellular হিসাবে জাল অ্যাপ্লিকেশন সহ:
- Livelo Pontos (com.resgatelivelo.cash)
- Correios Recarga (com.correiosrecarga.android)
- Bratesco Prine (com.resgatelivelo.cash)
- Módulo de Segurança (com.viberotion1414.app)
ম্যালওয়্যারের সোর্স কোডের বিশ্লেষণ থেকে জানা যায় যে অপারেটররা অভ্যন্তরীণভাবে Rocinante কে Pegasus বা PegasusSpy হিসাবে উল্লেখ করে। যাইহোক, এটা স্পষ্ট করা প্রয়োজন যে এই পেগাসাসের সাথে বাণিজ্যিক নজরদারি বিক্রেতা NSO গ্রুপের তৈরি ক্রস-প্ল্যাটফর্ম স্পাইওয়্যারের সাথে কোনো সংযোগ নেই।
অন্যান্য ম্যালওয়্যার পরিবারের সাথে সংযোগ
সাইলেন্ট পুশের সাম্প্রতিক বিশ্লেষণ অনুসারে পেগাসাসকে ডিউকইউজিন নামে পরিচিত একজন হুমকি অভিনেতাকে দায়ী করা হয়েছে, যিনি একই ধরনের ম্যালওয়্যার স্ট্রেন যেমন ERMAC , BlackRock , Hook এবং Loot তৈরি করেছেন।
গবেষকরা আবিষ্কার করেছেন যে রোকিনান্টে ERMAC এর পূর্ববর্তী সংস্করণগুলির দ্বারা প্রভাবিত উপাদানগুলি অন্তর্ভুক্ত করে। ERMAC এর সোর্স কোডের 2023 ফাঁস এই উন্নয়নে অবদান রাখতে পারে। এটি প্রথম উদাহরণ যেখানে একটি আসল ম্যালওয়্যার পরিবার তাদের নিজেদের মধ্যে ফাঁস হওয়া কোডের অংশগুলিকে অন্তর্ভুক্ত করেছে বলে মনে হচ্ছে৷ এটাও সম্ভব যে Rocinante এবং ERMAC একই প্রাথমিক প্রকল্পের পৃথক শাখা প্রতিনিধিত্ব করে।
Rocinante ব্যাংকিং ট্রোজান সংবেদনশীল ডেটা লক্ষ্য করে
Rocinante প্রাথমিকভাবে জাল ড্রপার অ্যাপ্লিকেশন ইনস্টল করার জন্য ব্যবহারকারীদের প্রতারিত করার জন্য ডিজাইন করা ফিশিং ওয়েবসাইটের মাধ্যমে ছড়িয়ে পড়ে। একবার ইনস্টল হয়ে গেলে, এই অ্যাপ্লিকেশনগুলি সংক্রামিত ডিভাইসের সমস্ত ক্রিয়াকলাপ নিরীক্ষণ করতে, এসএমএস বার্তাগুলিকে আটকাতে এবং ফিশিং লগইন পৃষ্ঠাগুলি প্রদর্শন করার জন্য অ্যাক্সেসিবিলিটি পরিষেবা বিশেষাধিকারের জন্য অনুরোধ করে৷
ম্যালওয়্যারটি একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারের সাথে সংযোগ করে যাতে স্পর্শ এবং সোয়াইপ ইভেন্টের অনুকরণ সহ দূরবর্তী নির্দেশাবলী পাওয়া যায়। সংগৃহীত ব্যক্তিগত তথ্য একটি টেলিগ্রাম বটে পাঠানো হয়, যা লক্ষ্য ব্যাঙ্কের ছদ্মবেশী জাল লগইন পৃষ্ঠাগুলির মাধ্যমে প্রাপ্ত দরকারী ডেটা বের করে। এই তথ্যটি তারপর ফরম্যাট করা হয় এবং অপরাধীদের কাছে অ্যাক্সেসযোগ্য একটি চ্যাটে ভাগ করা হয়।
বিশদ বিবরণ ব্যবহৃত জাল লগইন পৃষ্ঠার উপর নির্ভর করে এবং ডিভাইসের তথ্য যেমন মডেল এবং ফোন নম্বর, CPF নম্বর, পাসওয়ার্ড বা অ্যাকাউন্ট নম্বর অন্তর্ভুক্ত করে।
হুমকি অভিনেতা অনুরূপ সংক্রমণ ভেক্টর শোষণ
Rocinante ব্যাঙ্কিং ট্রোজান ডেভেলপমেন্ট সাইবার সিকিউরিটি গবেষকদের সাথে মিলে যায় একটি নতুন ব্যাঙ্কিং ট্রোজান ম্যালওয়্যার প্রচারাভিযান উন্মোচন করে যা স্প্যানিশ এবং পর্তুগিজ-ভাষী অঞ্চলকে লক্ষ্য করে safeserver.net ডোমেন ব্যবহার করে।
মাল্টি-ফেজ অ্যাটাক শুরু হয় হুমকিমূলক ইউআরএল দিয়ে যা ব্যবহারকারীদেরকে একটি অস্পষ্ট .hta ফাইল ধারণকারী সংরক্ষণাগারে নিয়ে যায়। এই ফাইলটি একটি জাভাস্ক্রিপ্ট পেলোড ট্রিগার করে যা চূড়ান্ত AutoIT পেলোড ডাউনলোড করার আগে বিভিন্ন AntiVM এবং AntiAV চেক পরিচালনা করে। অটোআইটি পেলোডটি তারপরে প্রক্রিয়া ইনজেকশনের মাধ্যমে কার্যকর করা হয়, যার লক্ষ্য ভিকটিম সিস্টেম থেকে ব্যাঙ্কিং তথ্য এবং শংসাপত্র সংগ্রহ করা এবং একটি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে ডেটা এক্সফিল্ট করা।
