AntiDot Android Malware

साइबर सुरक्षा शोधकर्ताओं ने एंटीडॉट पर से पर्दा हटा दिया है, जो एंड्रॉइड मैलवेयर का एक परिष्कृत टुकड़ा है जिसने सैकड़ों दुर्भावनापूर्ण अभियानों में हजारों उपकरणों को संक्रमित किया है। LARVA-398 नामक एक खतरनाक अभिनेता से जुड़ा यह मैलवेयर डार्क वेब पर मोबाइल मैलवेयर-एज़-ए-सर्विस (MaaS) पेशकशों द्वारा उत्पन्न बढ़ते खतरे को दर्शाता है।

बढ़ता ख़तरा: हमले का पैमाना और दायरा

एंटीडॉट 273 अलग-अलग अभियानों से जुड़ा हुआ है, जिसमें 3,775 से ज़्यादा एंड्रॉयड डिवाइस शामिल हैं। अभियान अत्यधिक लक्षित होते हैं, जो अक्सर भाषा और भौगोलिक स्थान पर आधारित होते हैं, जो चुनिंदा पीड़ितों की प्रोफाइलिंग का सुझाव देते हैं। मैलवेयर मुख्य रूप से दुर्भावनापूर्ण विज्ञापन नेटवर्क और फ़िशिंग अभियानों के ज़रिए वितरित किया जाता है, जिसमें नकली Google Play अपडेट शामिल हैं।

मोबाइल के लिए MaaS: LARVA-398 का बिजनेस मॉडल

'थ्री-इन-वन' समाधान के रूप में विपणन किए गए एंटीडॉट को भूमिगत मंचों पर बेचा जाता है, जो खतरे पैदा करने वाले लोगों को निम्नलिखित के लिए एक शक्तिशाली टूलकिट प्रदान करता है:

• सुलभता दुरुपयोग के माध्यम से स्क्रीन रिकॉर्डिंग
• एसएमएस अवरोधन
• तृतीय-पक्ष ऐप्स से डेटा निकालना

इस व्यावसायीकरण ने इसे साइबर अपराधियों की एक विस्तृत श्रृंखला के लिए सुलभ बना दिया है, जिससे उन्नत मोबाइल हमले शुरू करने की बाधा कम हो गई है।

उन्नत क्षमताएँ: एंटीडॉट क्या कर सकता है

एंटीडॉट में कई तरह की दुर्भावनापूर्ण क्षमताएं हैं जो हमलावरों को संक्रमित डिवाइस पर लगातार और गुप्त नियंत्रण बनाए रखने में सक्षम बनाती हैं। यह नकली लॉगिन स्क्रीन प्रदर्शित करके ओवरले हमले करता है जो वैध ऐप्स की नकल करते हैं, जिससे उपयोगकर्ता क्रेडेंशियल्स चोरी हो जाते हैं। मैलवेयर संवेदनशील जानकारी को कैप्चर करने के लिए कीस्ट्रोक्स को भी लॉग करता है और स्क्रीन कंटेंट की निगरानी करता है। एंड्रॉइड के मीडियाप्रोजेक्शन एपीआई का उपयोग करके, यह वेबसॉकेट कनेक्शन के माध्यम से अपने कमांड-एंड-कंट्रोल सर्वर के साथ वास्तविक समय संचार बनाए रखते हुए डिवाइस को दूर से नियंत्रित कर सकता है।

एंटीडॉट डिवाइस से व्यापक डेटा इकट्ठा करने के लिए एक्सेसिबिलिटी सेवाओं का दुरुपयोग करता है और आने वाले और बाहर जाने वाले संदेशों को रोकने के लिए खुद को डिफ़ॉल्ट एसएमएस ऐप के रूप में सेट करता है। इसके अतिरिक्त, यह फोन कॉल को ब्लॉक या रीडायरेक्ट करके हेरफेर करता है और उपयोगकर्ता को किसी भी संदिग्ध गतिविधि के बारे में सचेत करने से बचने के लिए सूचनाओं को दबा देता है। साथ में, ये विशेषताएं हमलावरों को पीड़ित के डिवाइस पर व्यापक पहुंच और नियंत्रण प्रदान करती हैं।

वितरण श्रृंखला: तीन-चरणीय संक्रमण प्रक्रिया

मैलवेयर को बहु-चरणीय प्रारूप में वितरित किया जाता है:

प्रारंभिक APK फ़ाइल - फ़िशिंग या नकली अपडेट के भाग के रूप में वितरित की गई।

डायनेमिक क्लास लोडिंग - एपीके में मौजूद नहीं होने वाले अस्पष्ट क्लासेस को इंस्टॉलेशन के दौरान लोड किया जाता है।

DEX फ़ाइल निष्पादन - पहुँच-योग्यता अनुमतियाँ प्राप्त करने के बाद, मैलवेयर बॉटनेट कोड युक्त एक दुर्भावनापूर्ण DEX फ़ाइल को खोलता और लोड करता है।

एंटीडॉट द्वारा वाणिज्यिक पैकर्स और एन्क्रिप्टेड पेलोड्स का उपयोग, पता लगाने और रिवर्स इंजीनियरिंग में महत्वपूर्ण रूप से बाधा डालता है।

फर्जी इंटरफेस और क्रेडेंशियल चोरी

एंटीडॉट की एक प्रमुख रणनीति में उपयोगकर्ताओं द्वारा क्रिप्टोकरेंसी या वित्तीय ऐप खोलने पर नकली लॉगिन स्क्रीन प्रस्तुत करना शामिल है। ये स्क्रीन कमांड-एंड-कंट्रोल (C2) सर्वर से वास्तविक समय में प्राप्त की जाती हैं, जिससे हमलावर उपयोगकर्ता पर संदेह पैदा किए बिना संवेदनशील क्रेडेंशियल प्राप्त कर सकते हैं।

एंटीडॉट का C2 इंफ्रास्ट्रक्चर: दक्षता के लिए बनाया गया

मैलवेयर का रिमोट कंट्रोल पैनल MeteorJS पर बनाया गया है, जो संक्रमित डिवाइस के साथ सहज वास्तविक समय की बातचीत की अनुमति देता है। पैनल में छह अलग-अलग खंड शामिल हैं:

• बॉट्स: संक्रमित डिवाइस और उनका मेटाडेटा प्रदर्शित करता है
• इंजेक्ट्स: ओवरले हमलों और टेम्प्लेट्स के लिए लक्षित ऐप्स की सूची बनाता है
• विश्लेषणात्मक: रुझानों और भविष्य के लक्ष्यों की पहचान करने के लिए इंस्टॉल किए गए ऐप्स को ट्रैक करता है
• सेटिंग्स: इंजेक्शन पैरामीटर और मैलवेयर व्यवहार को नियंत्रित करता है
• गेट्स: बॉट संचार समापन बिंदुओं का प्रबंधन करता है
• सहायता: मैलवेयर संचालकों के लिए उपयोगकर्ता सहायता प्रदान करता है

स्थानीयकृत और स्थायी: एंटीडॉट का वास्तविक खतरा

एंटीडॉट सिर्फ़ एक और एंड्रॉयड ट्रोजन नहीं है, यह एक स्केलेबल, बचाव करने वाला MaaS प्लैटफ़ॉर्म है जो स्थानीयकृत लक्ष्यीकरण के ज़रिए वित्तीय धोखाधड़ी पर ध्यान केंद्रित करता है। वेबव्यू इंजेक्शन, ओवरले-आधारित क्रेडेंशियल चोरी और रीयल-टाइम C2 संचार जैसी तकनीकों के साथ, यह उपयोगकर्ता की गोपनीयता और मोबाइल सुरक्षा के लिए एक गंभीर ख़तरा पैदा करता है।

शोधकर्ताओं ने चेतावनी दी है कि एंटीडॉट की बढ़ती स्वीकार्यता और विकसित होती रणनीति इस तरह के बढ़ते खतरों से निपटने के लिए उन्नत एंड्रॉयड सुरक्षा प्रथाओं, नियमित अपडेट और उपयोगकर्ता जागरूकता की तत्काल आवश्यकता को उजागर करती है।