XploitSpy মোবাইল ম্যালওয়্যার

এক্সোটিক ভিজিট নামে একটি নতুন অ্যান্ড্রয়েড ম্যালওয়্যার প্রচারাভিযান সক্রিয়ভাবে দক্ষিণ এশিয়া, বিশেষ করে ভারত ও পাকিস্তানের ব্যবহারকারীদের লক্ষ্য করে চলেছে৷ এই প্রচারাভিযানটি বিশেষায়িত ওয়েবসাইট এবং গুগল প্লে স্টোরের মাধ্যমে ম্যালওয়্যার বিতরণ করছে।

গবেষকরা নভেম্বর 2021 সাল থেকে এই প্রচারাভিযান পর্যবেক্ষণ করছেন এবং কোনও পরিচিত হুমকি অভিনেতা বা গোষ্ঠীর সাথে কোনও সংযোগ খুঁজে পাননি। তারা এর পিছনে থাকা দলটিকে ভার্চুয়াল আক্রমণকারী হিসাবে চিহ্নিত করেছে।

এই উত্সগুলি থেকে ডাউনলোড করা হুমকিমূলক অ্যাপ্লিকেশনগুলি বৈধ কার্যকারিতা অফার করে তবে এতে ওপেন সোর্স অ্যান্ড্রয়েড এক্সপ্লোইটএসপিওয়াই RAT থেকে কোডও রয়েছে৷ এই প্রচারাভিযানটি অত্যন্ত মনোযোগী বলে মনে হচ্ছে, Google Play-তে শূন্য থেকে 45টি পর্যন্ত অ্যাপ্লিকেশনগুলির খুব কম ইনস্টল রয়েছে৷ গবেষণার ফলাফলের ফলে, এই অ্যাপ্লিকেশনগুলিকে প্ল্যাটফর্ম থেকে সরিয়ে দেওয়া হয়েছে৷

আক্রমণ অপারেশন অনেক জাল অ্যাপ্লিকেশন শোষণ

প্রতারণামূলক অ্যাপ্লিকেশনগুলি এখনও কার্যকর ছিল এবং প্রাথমিকভাবে আলফা চ্যাট, চিটচ্যাট, ডিফকম, ডিঙ্ক মেসেঞ্জার, সিগন্যাল লাইট, টকইউ, ওয়েটক, উইকার মেসেঞ্জার এবং জাঙ্গি চ্যাটের মতো মেসেজিং প্ল্যাটফর্ম হিসাবে জাহির করা হয়েছিল। এটি রিপোর্ট করা হয়েছে যে প্রায় 380 জন ব্যক্তি এই অ্যাপ্লিকেশনগুলি ডাউনলোড করার এবং অ্যাকাউন্ট তৈরি করার শিকার হয়েছেন, যা মেসেজিংয়ের জন্য ব্যবহার করার ইচ্ছা পোষণ করেছেন।

অতিরিক্তভাবে, এক্সোটিক ভিজিট ক্যাম্পেইনের অংশ হিসেবে, সিম ইনফো এবং টেলকো ডিবি-র মতো অ্যাপ্লিকেশন ব্যবহার করা হয়। এই অ্যাপ্লিকেশনগুলি কেবল একটি পাকিস্তান-ভিত্তিক ফোন নম্বর ইনপুট করে সিম কার্ডের মালিকদের সম্পর্কে তথ্য দেওয়ার দাবি করে৷ তদুপরি, অন্যান্য অ্যাপ্লিকেশনগুলি পাকিস্তানে একটি খাদ্য সরবরাহ পরিষেবা এবং একটি বৈধ ভারতীয় হাসপাতাল যা স্পেশালিস্ট হাসপাতাল (এখন ট্রিলাইফ হাসপাতাল হিসাবে পুনঃব্র্যান্ড করা হয়েছে) হিসাবে পরিচিত।

XploitSpy মোবাইল ম্যালওয়্যার অনুপ্রবেশকারী ফাংশন একটি বিস্তৃত পরিসীমা অধিকারী

XploitSPY, RaoMK নামের একজন ব্যবহারকারীর দ্বারা এপ্রিল 2020-এর প্রথম দিকে GitHub-এ আপলোড করা হয়েছিল, XploitWizer নামে একটি ভারতীয় সাইবার নিরাপত্তা সমাধান সংস্থার সাথে সম্পর্ক রয়েছে। এটি L3MON নামে আরেকটি ওপেন-সোর্স অ্যান্ড্রয়েড ট্রোজানের ডেরিভেটিভ হিসাবে চিহ্নিত করা হয়েছে, যেটি নিজেই AhMyth দ্বারা অনুপ্রাণিত।

এই ম্যালওয়্যারটি আপোসকৃত ডিভাইসগুলি থেকে সংবেদনশীল ডেটা সংগ্রহ করতে সক্ষম করার ক্ষমতার বিস্তৃত পরিসরের গর্ব করে৷ এটি জিপিএস অবস্থান সংগ্রহ করতে পারে, মাইক্রোফোন থেকে অডিও রেকর্ড করতে পারে, পরিচিতি, এসএমএস বার্তা, কল লগ এবং ক্লিপবোর্ড সামগ্রী অ্যাক্সেস করতে পারে। এটি হোয়াটসঅ্যাপ, ফেসবুক, ইনস্টাগ্রাম এবং জিমেইলের মতো জনপ্রিয় অ্যাপ থেকে বিজ্ঞপ্তির বিবরণ বের করার পাশাপাশি ফাইল ডাউনলোড এবং আপলোড করতে, ইনস্টল করা অ্যাপ্লিকেশনগুলি দেখতে এবং সারিবদ্ধ কমান্ডগুলি কার্যকর করতে সক্ষম।

অধিকন্তু, ক্ষতিকারক অ্যাপ্লিকেশনগুলি স্ক্রিনশট, হোয়াটসঅ্যাপ, হোয়াটসঅ্যাপ বিজনেস, টেলিগ্রাম এবং GBWhatsApp নামে পরিচিত হোয়াটসঅ্যাপের একটি পরিবর্তিত সংস্করণের সাথে যুক্ত নির্দিষ্ট ডিরেক্টরি থেকে ফটো তোলা এবং ফাইলগুলি গণনা করার জন্য প্রোগ্রাম করা হয়েছে।

আক্রমণকারীরা স্টিলথের উপর বর্ধিত জোর দেখায়

বছরের পর বছর ধরে, এই হুমকি অভিনেতারা অস্পষ্টতা, এমুলেটর সনাক্তকরণ, C2 ঠিকানা লুকিয়ে এবং একটি নেটিভ লাইব্রেরি ব্যবহার করে তাদের ক্ষতিকর কোড কাস্টমাইজ করেছে। নেটিভ লাইব্রেরি 'defcome-lib.so'-এর মূল উদ্দেশ্য হল C2 সার্ভারের তথ্য এনকোড করা এবং স্ট্যাটিক অ্যানালাইসিস টুল থেকে লুকানো। যদি একটি এমুলেটর সনাক্ত করা হয়, অ্যাপটি সনাক্তকরণ এড়াতে একটি নকল C2 সার্ভার ব্যবহার করে।

কিছু অ্যাপ্লিকেশন বিশেষভাবে এই উদ্দেশ্যে তৈরি করা ওয়েবসাইটগুলির মাধ্যমে প্রচার করা হয়েছে, 'chitchat.ngrok.io', যা GitHub-এ হোস্ট করা একটি Android প্যাকেজ ফাইল, 'ChitChat.apk'-এর একটি লিঙ্ক প্রদান করে। এটি বর্তমানে স্পষ্ট নয় যে কীভাবে শিকারদের এই অ্যাপ্লিকেশনগুলিতে নির্দেশ দেওয়া হয়।

গবেষকরা বলেছেন যে বিতরণটি উত্সর্গীকৃত ওয়েবসাইটগুলিতে শুরু হয়েছিল এবং তারপরে এমনকি অফিসিয়াল গুগল প্লে স্টোরে চলে গেছে। প্রচারণার উদ্দেশ্য গুপ্তচরবৃত্তি এবং এটি সম্ভবত পাকিস্তান ও ভারতে ভিকটিমদের টার্গেট করবে।