SafeChat মোবাইল ম্যালওয়্যার
হ্যাকাররা স্পাইওয়্যার ম্যালওয়্যার দ্বারা ডিভাইসগুলিকে সংক্রামিত করার জন্য 'সেফচ্যাট' নামক একটি প্রতারণামূলক অ্যান্ড্রয়েড অ্যাপ্লিকেশন নিয়োগ করে। এই দূষিত সফ্টওয়্যারটি কল লগ, টেক্সট মেসেজ এবং GPS অবস্থান সহ ফোন থেকে সংবেদনশীল তথ্য চুরি করা।
অ্যান্ড্রয়েড স্পাইওয়্যারটিকে কুখ্যাত 'কভারলম' ম্যালওয়্যারের একটি রূপ বলে সন্দেহ করা হচ্ছে, যা বিভিন্ন যোগাযোগ অ্যাপ থেকে ডেটা চুরি করার ক্ষমতার জন্য পরিচিত৷ লক্ষ্যযুক্ত অ্যাপ্লিকেশনগুলির মধ্যে রয়েছে টেলিগ্রাম, সিগন্যাল, হোয়াটসঅ্যাপ, ভাইবার এবং ফেসবুক মেসেঞ্জারের মতো জনপ্রিয় প্ল্যাটফর্ম।
'Bahanut ' নামে পরিচিত ভারতীয় APT হ্যাকিং গ্রুপ এই প্রচারণার পিছনে রয়েছে বলে মনে করা হচ্ছে। প্রাথমিকভাবে হোয়াটসঅ্যাপের মাধ্যমে বিতরণ করা স্পিয়ার ফিশিং বার্তা ব্যবহার করে সাম্প্রতিক হামলার জন্য দায়ী অপরাধী হিসেবে তাদের চিহ্নিত করা হয়েছে। এই বার্তাগুলি হুমকির পেলোড বহন করে, যা সরাসরি ক্ষতিগ্রস্তদের ডিভাইসে পৌঁছে দেওয়া হয়। এই বাহামুট ক্যাম্পেইনের প্রাথমিক লক্ষ্য দক্ষিণ এশিয়ায় অবস্থিত ব্যবহারকারীরা।
SafeChat ম্যালওয়্যার একটি বৈধ মেসেজিং অ্যাপ্লিকেশন হিসাবে মাশকারা করে
আক্রমণকারীদের দ্বারা ব্যবহৃত একটি সাধারণ কৌশল হল শিকারদের একটি চ্যাট অ্যাপ্লিকেশন ইনস্টল করার চেষ্টা করা এবং প্ররোচিত করা, দাবি করা যে এটি তাদের আরও নিরাপদ যোগাযোগ প্ল্যাটফর্ম প্রদান করবে। ইনফোসেক বিশেষজ্ঞদের মতে, নিরাপদ চ্যাটের ছদ্মবেশে স্পাইওয়্যারটি একটি প্রতারণামূলক ইউজার ইন্টারফেস ব্যবহার করে যা একটি আসল চ্যাট অ্যাপের অনুকরণ করে। উপরন্তু, এটি একটি বৈধ ব্যবহারকারী নিবন্ধন প্রক্রিয়া বলে মনে হয় যা শিকারকে নির্দেশ করে, বিশ্বাসযোগ্যতা যোগ করে এবং স্পাইওয়্যারের দূষিত কার্যকলাপের জন্য একটি নিখুঁত কভার হিসাবে কাজ করে।
সংক্রমণ প্রক্রিয়ার একটি গুরুত্বপূর্ণ পদক্ষেপের মধ্যে গুরুত্বপূর্ণ অনুমতি প্রাপ্তি জড়িত, যেমন অ্যাক্সেসিবিলিটি পরিষেবাগুলি ব্যবহার করার ক্ষমতা। স্পাইওয়্যারকে স্বয়ংক্রিয়ভাবে সংবেদনশীল ডেটাতে আরও অ্যাক্সেস দেওয়ার জন্য এই অনুমতিগুলি অপব্যবহার করা হয়। আরও বিশেষভাবে, স্পাইওয়্যার শিকারের যোগাযোগের তালিকা, এসএমএস বার্তা, কল লগ, বাহ্যিক ডিভাইস স্টোরেজ অ্যাক্সেস করে এবং আপস করা ডিভাইস থেকে সঠিক GPS অবস্থান ডেটা পুনরুদ্ধার করতে পারে।
উপরন্তু, অ্যান্ড্রয়েড ম্যানিফেস্ট ফাইলের স্নিপেটগুলি প্রকাশ করে যে স্পাইওয়্যারের পিছনে হুমকি অভিনেতা এটিকে ইতিমধ্যে ইনস্টল করা অন্যান্য চ্যাট অ্যাপ্লিকেশনগুলির সাথে যোগাযোগ করার জন্য ডিজাইন করেছিলেন৷ ইন্টারঅ্যাকশনটি ইন্টেন্ট ব্যবহারের মাধ্যমে ঘটে এবং OPEN_DOCUMENT_TREE অনুমতি স্পাইওয়্যারকে নির্দিষ্ট ডিরেক্টরি নির্বাচন করতে এবং অভিপ্রায়ে উল্লিখিত অ্যাপগুলি অ্যাক্সেস করতে দেয়।
সংক্রামিত ডিভাইস থেকে সংগৃহীত ডেটা এক্সফিল্টার করতে, স্পাইওয়্যার একটি ডেডিকেটেড ডেটা এক্সফিল্ট্রেশন মডিউল নিয়োগ করে। তথ্যটি তারপর পোর্ট 2053 এর মাধ্যমে আক্রমণকারীর কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভারে স্থানান্তরিত হয়। ট্রান্সমিশনের সময় বহিষ্কৃত তথ্যের গোপনীয়তা নিশ্চিত করতে, স্পাইওয়্যারটি RSA, ECB এবং OAEPPadding সমর্থন করে এমন অন্য মডিউল দ্বারা সহজলভ্য এনক্রিপশন ব্যবহার করে। উপরন্তু, আক্রমণকারীরা একটি "লেটস এনক্রিপ্ট" শংসাপত্র ব্যবহার করে তাদের বিরুদ্ধে করা নেটওয়ার্ক ডেটার যেকোন বাধার প্রচেষ্টা এড়াতে।
অন্যান্য সাইবার ক্রাইম গ্রুপের সাথে সংযোগ
সেফচ্যাট আক্রমণ অভিযানে, বেশ কিছু কৌশল, কৌশল এবং পদ্ধতি (TTPs) চিহ্নিত করা হয়েছে, যেগুলি 'DoNot APT' (APT-C-35) নামে পরিচিত আরেকটি ভারতীয় রাষ্ট্র-স্পন্সর করা হুমকি গোষ্ঠীর সাথে একটি আকর্ষণীয় সাদৃশ্য বহন করে। উল্লেখযোগ্যভাবে, 'DoNot APT' এর আগে স্পাইওয়্যার হিসাবে কাজ করে এমন নকল চ্যাট অ্যাপগুলির সাথে Google Play-এ অনুপ্রবেশের সাথে জড়িত ছিল। দুটি হ্যাকার গোষ্ঠীর মধ্যে মিলের মধ্যে রয়েছে একই শংসাপত্র কর্তৃপক্ষের ব্যবহার, একই ধরনের ডেটা চুরির পদ্ধতি, একটি শেয়ার করা টার্গেটিং স্কোপ, এবং তাদের অভিপ্রেত লক্ষ্যগুলিকে সংক্রামিত করতে Android অ্যাপগুলির ব্যবহার।
এই পর্যবেক্ষিত সমান্তরাল দুটি হুমকি গোষ্ঠীর মধ্যে সম্ভাব্য ওভারল্যাপ বা ঘনিষ্ঠ সহযোগিতার জোরালো পরামর্শ দেয়। উপরন্তু, ডেটা চুরির কৌশল এবং শেয়ার করা টার্গেটিং ফোকাসের মিল তাদের আক্রমণে একটি সাধারণ লক্ষ্য বা উদ্দেশ্য নির্দেশ করতে পারে।
উভয় গ্রুপই অনুপ্রবেশের মাধ্যম হিসেবে অ্যান্ড্রয়েড অ্যাপ ব্যবহার করেছে তা সম্ভাব্য সহযোগিতা বা জ্ঞান ভাগাভাগির ধারণাকে আরও শক্তিশালী করে। সহযোগিতার এই ইঙ্গিতগুলিকে গুরুত্ব সহকারে নেওয়া অত্যন্ত গুরুত্বপূর্ণ কারণ তারা এই রাষ্ট্র-স্পন্সর গোষ্ঠীগুলির দ্বারা শুরু করা আক্রমণগুলির পরিশীলিততা এবং জটিলতার সম্ভাব্য বৃদ্ধির ইঙ্গিত দেয়৷
