এসএমএস চুরিকারী মোবাইল ম্যালওয়্যার
অ্যান্ড্রয়েড ডিভাইসের লক্ষ্যে একটি বিশ্বব্যাপী সাইবার আক্রমণ এসএমএস-চুরির ম্যালওয়্যার ছড়িয়ে দিতে এবং 600টিরও বেশি পরিষেবার জন্য এককালীন 2FA পাসওয়ার্ড (OTP) ক্যাপচার করতে হাজার হাজার টেলিগ্রাম বট নিয়োগ করে। গবেষকরা 2022 সালের ফেব্রুয়ারি থেকে এই অপারেশনটি পর্যবেক্ষণ করছেন এবং প্রচারণার সাথে যুক্ত কমপক্ষে 107,000 অনন্য ম্যালওয়্যার নমুনা সনাক্ত করেছেন। আক্রমণকারীরা আর্থিক প্রণোদনা দ্বারা চালিত বলে মনে হচ্ছে, সম্ভবত প্রমাণীকরণের সুবিধার্থে এবং নাম প্রকাশ না করার জন্য আপোসকৃত ডিভাইসগুলি ব্যবহার করে।
সুচিপত্র
হাজার হাজার টেলিগ্রাম বট এসএমএস স্টিলার ম্যালওয়্যার ছড়িয়ে দেয়
এসএমএস-চুরির ম্যালওয়্যার দুটি প্রধান পদ্ধতির মাধ্যমে ছড়িয়ে পড়ে: ম্যালভার্টাইজিং এবং টেলিগ্রাম বট যা ক্ষতিগ্রস্তদের সাথে যোগাযোগ স্বয়ংক্রিয় করে।
প্রথম পদ্ধতিতে, ভুক্তভোগীদের নকল Google Play পৃষ্ঠাগুলিতে নির্দেশিত করা হয়, যা বৈধ দেখাতে এবং ভিকটিমদের আস্থা অর্জনের জন্য স্ফীত ডাউনলোড সংখ্যা প্রদর্শন করে।
টেলিগ্রামে, বটগুলি পাইরেটেড অ্যান্ড্রয়েড অ্যাপ্লিকেশনগুলি অফার করে এবং APK ফাইল দেওয়ার আগে ভিকটিমদের ফোন নম্বরের জন্য অনুরোধ করে। ব্যক্তিগতকৃত ট্র্যাকিং বা ভবিষ্যতের আক্রমণ সক্ষম করে একটি কাস্টমাইজড APK তৈরি করতে এই নম্বরটি বট ব্যবহার করে৷
অপারেশনটি বিভিন্ন অ্যান্ড্রয়েড APK বিতরণ করার জন্য প্রায় 2,600টি টেলিগ্রাম বটের উপর নির্ভর করে, সমস্ত 13টি কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার দ্বারা পরিচালিত হয়। আক্রান্ত ব্যক্তিদের বেশিরভাগই ভারত এবং রাশিয়ায়, যদিও উল্লেখযোগ্য সংখ্যা ব্রাজিল, মেক্সিকো এবং মার্কিন যুক্তরাষ্ট্রেও রিপোর্ট করা হয়েছে।
কীভাবে হুমকি অভিনেতারা ভিকটিমদের কাছ থেকে তহবিল তৈরি করে
ম্যালওয়্যারটি 'fastsms.su' ওয়েবসাইটের একটি API এন্ডপয়েন্টে বাধাপ্রাপ্ত এসএমএস বার্তা পাঠায়। এই সাইটটি বিভিন্ন দেশ থেকে 'ভার্চুয়াল' ফোন নম্বর অফার করে, যা ব্যবহারকারীরা বেনামীর জন্য এবং অনলাইন প্ল্যাটফর্মে প্রমাণীকরণের জন্য কিনতে পারেন। এই পরিষেবা দ্বারা ক্ষতিগ্রস্তদের অজান্তেই আপোষকৃত ডিভাইসগুলি ব্যবহার করা হওয়ার সম্ভাবনা খুবই বেশি। ম্যালওয়্যারটি অ্যাকাউন্ট নিবন্ধন এবং দ্বি-ফ্যাক্টর প্রমাণীকরণের জন্য প্রয়োজনীয় ওটিপিগুলি ক্যাপচার করতে অ্যান্ড্রয়েড ডিভাইসে এটিকে দেওয়া এসএমএস অ্যাক্সেসের অনুমতিগুলি ব্যবহার করে।
ভুক্তভোগীদের জন্য, এর ফলে তাদের মোবাইল অ্যাকাউন্টে অননুমোদিত চার্জ এবং তাদের ডিভাইস এবং ফোন নম্বরে ফিরে পাওয়া অবৈধ কার্যকলাপে সম্ভাব্য জড়িত থাকতে পারে। ফোন নম্বরের অপব্যবহার থেকে রক্ষা করতে, Google Play-এর বাইরের উৎস থেকে APK ফাইল ডাউনলোড করা এড়িয়ে চলুন, অসংলগ্ন ফাংশন সহ অ্যাপগুলিতে অপ্রয়োজনীয় অনুমতি দেওয়া থেকে বিরত থাকুন এবং আপনার ডিভাইসে Play Protect চালু আছে কিনা তা নিশ্চিত করুন।
এসএমএস স্টিলার অপারেশনের আক্রমণ প্রবাহ
ভুক্তভোগীকে একটি প্রতারণামূলক অ্যাপ্লিকেশন ইনস্টল করার জন্য প্রলুব্ধ করা হয়েছে বিভ্রান্তিকর বিজ্ঞাপনের মাধ্যমে যা বৈধ অ্যাপ স্টোরের অনুকরণ করে বা স্বয়ংক্রিয় টেলিগ্রাম বটগুলির মাধ্যমে যা লক্ষ্যের সাথে সরাসরি যোগাযোগ করে (নিচে বিস্তারিত)।
অনুমতি অনুরোধ - অ্যাক্সেস লাভ
একবার ইনস্টল হয়ে গেলে, প্রতারণামূলক অ্যাপ্লিকেশনটি এসএমএস পড়ার অনুমতির জন্য অনুরোধ করে, অ্যান্ড্রয়েডে একটি উচ্চ-ঝুঁকিপূর্ণ বৈশিষ্ট্য যা সংবেদনশীল ব্যক্তিগত ডেটা অ্যাক্সেসের অনুমতি দেয়। যদিও বৈধ অ্যাপগুলির নির্দিষ্ট ফাংশনের জন্য SMS অনুমতির প্রয়োজন হতে পারে, এই অ্যাপের অনুরোধটি ভিকটিমদের ব্যক্তিগত টেক্সট বার্তা সংগ্রহ করার জন্য ডিজাইন করা হয়েছে।
কমান্ড ও কন্ট্রোল সার্ভার পুনরুদ্ধার - মাস্টারের সাথে যোগাযোগ করা
হুমকিটি তখন তার কমান্ড অ্যান্ড কন্ট্রোল (সিএন্ডসি) সার্ভারের সাথে সংযোগ করে, যা তার ক্রিয়াকলাপ পরিচালনা করে এবং সংগৃহীত ডেটা সংগ্রহ করে। প্রাথমিকভাবে, ম্যালওয়্যারটি C&C সার্ভারের ঠিকানা পেতে Firebase ব্যবহার করেছিল কিন্তু তারপর থেকে Github সংগ্রহস্থলগুলি ব্যবহার করতে বা সরাসরি অ্যাপের মধ্যে ঠিকানাটি এম্বেড করতে বিবর্তিত হয়েছে।
C&C কমিউনিকেশন - রিপোর্টিং ইন এবং ডেটা আপলোড করা
C&C সার্ভার ঠিকানা সুরক্ষিত করার পরে, সংক্রামিত ডিভাইস এটির সাথে একটি সংযোগ স্থাপন করে। এটি দুটি উদ্দেশ্য পরিবেশন করে: 1) ম্যালওয়্যার সার্ভারকে তার সক্রিয় স্থিতি সম্পর্কে অবহিত করে এবং 2) এটি মূল্যবান OTP কোড সহ চুরি করা এসএমএস বার্তা পাঠাতে একটি চ্যানেল তৈরি করে৷
ওটিপি হার্ভেস্টিং – গোপন কালেক্টর
চূড়ান্ত পর্যায়ে, ম্যালওয়্যারটি নিঃশব্দে ইনকামিং এসএমএস বার্তাগুলি নিরীক্ষণ করে, শনাক্ত না থাকা অবস্থায় অনলাইন অ্যাকাউন্ট যাচাইকরণের জন্য ব্যবহৃত ওটিপিগুলিকে বাধা দেওয়ার উপর ফোকাস করে।
