बीटबैंकर बैंकिंग ट्रोजन
BeatBanker एक परिष्कृत एंड्रॉइड मैलवेयर है जो Google Play Store की नकल करने वाली फर्जी वेबसाइटों के माध्यम से वितरित किया जाता है। यह दुर्भावनापूर्ण अभियान उपयोगकर्ताओं को ऐसे एप्लिकेशन डाउनलोड करने के लिए धोखा देता है जो वैध प्रतीत होते हैं लेकिन वास्तव में शक्तिशाली बैंकिंग ट्रोजन और क्रिप्टोकरेंसी माइनिंग क्षमताओं से लैस होते हैं। एक बार इंस्टॉल होने के बाद, मैलवेयर संक्रमित डिवाइस को हाईजैक कर सकता है, यूजर इंटरफेस में हेरफेर कर सकता है और अनधिकृत वित्तीय लेनदेन कर सकता है। खतरे का पता चलने पर इसे तुरंत हटाना आवश्यक है, क्योंकि इसके जारी रहने से वित्तीय नुकसान, गोपनीयता का उल्लंघन और डिवाइस की दीर्घकालिक सुरक्षा में कमी हो सकती है।
विषयसूची
फाइललेस निष्पादन और एंटी-एनालिसिस तकनीकें
एक्जीक्यूशन के बाद, बीटबैंकर डिवाइस का आईपी एड्रेस, डिवाइस टाइप, वीपीएन उपयोग की स्थिति और संबंधित कनेक्टिविटी विवरण सहित आवश्यक नेटवर्क जानकारी एकत्र करना शुरू कर देता है। मैलवेयर अपने दुर्भावनापूर्ण घटकों को डिवाइस के स्टोरेज पर फ़ाइलों के रूप में संग्रहीत करने के बजाय, सीधे मेमोरी में अपना कोड लोड करता है। फ़ाइल रहित निष्पादन की यह तकनीक पारंपरिक मोबाइल सुरक्षा उपकरणों द्वारा पता लगाए जाने की संभावना को काफी कम कर देती है।
विश्लेषण से बचने के लिए, बीटबैंकर यह जांचता है कि क्या यह किसी परीक्षण या अनुसंधान वातावरण, जैसे कि एमुलेटर या सैंडबॉक्स में चल रहा है। यदि ऐसी स्थितियां पाई जाती हैं, तो मैलवेयर तुरंत अपना संचालन बंद कर देता है। यह सुरक्षा तंत्र साइबर सुरक्षा शोधकर्ताओं और स्वचालित प्रणालियों को इसके व्यवहार का विश्लेषण करने से रोकने में मदद करता है।
नकली गूगल प्ले स्टोर पेजों के माध्यम से सोशल इंजीनियरिंग
पर्यावरण जांच पास करने के बाद, बीटबैंकर एक नकली इंटरफ़ेस प्रदर्शित करता है जो 'INSS Reembolso' नामक एप्लिकेशन के Google Play Store पेज से काफी मिलता-जुलता है, और झूठा दावा करता है कि सॉफ़्टवेयर अपडेट की आवश्यकता है। जब उपयोगकर्ता 'अपडेट' विकल्प का चयन करता है, तो मैलवेयर एप्लिकेशन इंस्टॉल करने की अनुमति मांगता है और छिपे हुए दुर्भावनापूर्ण घटकों को डाउनलोड करता है।
वैध Google Play इंफ्रास्ट्रक्चर पर निर्भर रहने के बजाय, यह मैलवेयर उच्च स्तर की इंस्टॉलेशन अनुमतियों का दुरुपयोग करके इन घटकों को सीधे इंस्टॉल करता है। अपनी उपस्थिति बनाए रखने के लिए, मैलवेयर एक भ्रामक सिस्टम अपडेट नोटिफिकेशन उत्पन्न करता है और एक फोरग्राउंड सेवा चलाता है जो चुपचाप मीडिया प्ले करती है, जिससे ऑपरेटिंग सिस्टम दुर्भावनापूर्ण प्रक्रिया को समाप्त करने से रोकता है।
पीड़ित के उपकरणों पर क्रिप्टोकरेंसी माइनिंग
BeatBanker के छिपे हुए पेलोड में से एक डाउनलोड की गई फ़ाइल में एम्बेडेड क्रिप्टोकरेंसी माइनर है। यह कंपोनेंट XMRig का एक संशोधित संस्करण है जिसे संक्रमित डिवाइस के CPU संसाधनों का उपयोग करके हमलावरों की ओर से क्रिप्टोकरेंसी माइन करने के लिए डिज़ाइन किया गया है।
यह मैलवेयर बैटरी स्तर, डिवाइस का तापमान और उपयोगकर्ता की गतिविधि जैसे सिस्टम मापदंडों की निगरानी करके माइनिंग गतिविधि को कुशलतापूर्वक नियंत्रित करता है। इन स्थितियों के आधार पर, यह मैलवेयर संदेह को कम करने और संक्रमण को लंबे समय तक बनाए रखने के लिए स्वचालित रूप से अपना संचालन शुरू या बंद कर सकता है।
बैंकिंग ट्रोजन और क्रिप्टोकरेंसी चोरी तंत्र
क्रिप्टोमाइनिंग क्षमता के साथ-साथ, बीटबैंकर एक बैंकिंग ट्रोजन भी तैनात करता है जो एक्सेसिबिलिटी अनुमतियाँ प्राप्त करने का प्रयास करता है। इन अनुमतियों को प्राप्त करने से हमलावरों को डिवाइस के इंटरफ़ेस को नियंत्रित करने और उपयोगकर्ता की गतिविधियों की निगरानी करने की सुविधा मिलती है।
यह मैलवेयर सक्रिय रूप से यह ट्रैक करता है कि कौन से एप्लिकेशन खोले गए हैं और विशेष रूप से बाइनेंस और ट्रस्ट वॉलेट जैसे क्रिप्टोकरेंसी प्लेटफॉर्म को निशाना बनाता है, खासकर USDT लेनदेन पर। जब कोई पीड़ित ट्रांसफर शुरू करता है, तो बीटबैंकर वैध लेनदेन इंटरफ़ेस पर एक फर्जी स्क्रीन लगा देता है। इस प्रक्रिया के दौरान, मैलवेयर चुपचाप इच्छित प्राप्तकर्ता के पते को हमलावरों द्वारा नियंत्रित पते से बदल देता है, जिससे पीड़ित की जानकारी के बिना धनराशि को दूसरी जगह भेज दिया जाता है।
बैंकिंग मॉड्यूल कई सामान्य रूप से उपयोग किए जाने वाले मोबाइल ब्राउज़रों की उपस्थिति का भी मूल्यांकन करता है और ब्राउज़िंग संबंधी जानकारी एकत्र करता है। यह डिफ़ॉल्ट ब्राउज़र में सहेजे गए लिंक में प्रविष्टियाँ जोड़कर, संपादित करके, हटाकर या सूचीबद्ध करके उनमें हेरफेर कर सकता है, और यह हमलावर द्वारा प्रदान किए गए यूआरएल खोल सकता है।
कमांड-एंड-कंट्रोल क्षमताएं और डिवाइस हेरफेर
BeatBanker एक कमांड-एंड-कंट्रोल (C2) सर्वर से संचार करता है, जिससे हमलावर संक्रमित उपकरणों को दूर से नियंत्रित कर सकते हैं और आदेश जारी कर सकते हैं। इस बुनियादी ढांचे के माध्यम से, मैलवेयर कई प्रकार की दुर्भावनापूर्ण कार्रवाइयां कर सकता है, जिनमें नकली सिस्टम अपडेट दिखाना, डिवाइस स्क्रीन को लॉक करना, क्लिपबोर्ड की सामग्री निकालना और ऑडियो रिकॉर्डिंग को हमलावरों तक पहुंचाना शामिल है।
इसकी अतिरिक्त क्षमताओं में एसएमएस संदेश भेजना, ब्राउज़र में हमलावर द्वारा नियंत्रित लिंक खोलना, संग्रहीत क्रेडेंशियल अपडेट करना और डिवाइस पर संग्रहीत फ़ाइलों की सूची देखना शामिल है। यह मैलवेयर फ़ाइलें डिलीट करना, फ़ैक्टरी रीसेट शुरू करना या किसी ऑपरेशन को पूरा करने के बाद अपने निशान मिटाने के लिए खुद को अनइंस्टॉल करना जैसे विनाशकारी कार्य भी कर सकता है।
निगरानी और डेटा निष्कासन सुविधाएँ
वित्तीय चोरी के अलावा, बीटबैंकर एक व्यापक निगरानी उपकरण के रूप में कार्य करता है। यह कीबोर्ड पर टाइप की गई कुंजियों को रिकॉर्ड करने, स्क्रीन पर प्रदर्शित टेक्स्ट को निकालने, स्क्रीनशॉट लेने और डिवाइस की स्क्रीन को वास्तविक समय में स्ट्रीम करने में सक्षम है। चल रहे एप्लिकेशन की निरंतर निगरानी हमलावरों को उपयोगकर्ता के व्यवहार का अवलोकन करने और संवेदनशील जानकारी एकत्र करने की अनुमति देती है।
इस मैलवेयर में एप्लिकेशन मॉनिटरिंग, एक बिल्ट-इन फ़ायरवॉल जो चुनिंदा ऐप्स को ब्लॉक या अनुमति दे सकता है, लगातार नोटिफिकेशन बनाना और वीपीएन कनेक्शन को मैनेज करने की क्षमता सहित अतिरिक्त डिवाइस-कंट्रोल मैकेनिज्म भी शामिल हैं।
अनुमतियों का दुरुपयोग और निरंतरता तंत्र
BeatBanker मैलवेयर एंड्रॉइड की उन उच्च-जोखिम वाली अनुमतियों पर बहुत अधिक निर्भर करता है जो डिवाइस पर इसके नियंत्रण को काफी हद तक बढ़ा देती हैं। ये अनुमतियाँ मैलवेयर को निरंतर बने रहने, कार्यों को स्वचालित करने और उपयोगकर्ता की जानकारी के बिना आदेशों को निष्पादित करने की अनुमति देती हैं।
इन अनुमतियों द्वारा सक्षम की जाने वाली प्रमुख क्षमताओं में निम्नलिखित शामिल हैं:
- सुलभता सुविधा, जो स्वचालित टैप, स्वाइप और इंटरफ़ेस हेरफेर की अनुमति देती है।
- ओवरले अनुमतियाँ जो वैध अनुप्रयोगों के ऊपर नकली स्क्रीन प्रदर्शित करने में सक्षम बनाती हैं
- अज्ञात स्रोतों से एप्लिकेशन इंस्टॉल करने की अनुमति, जिससे अतिरिक्त दुर्भावनापूर्ण घटकों की गुप्त स्थापना संभव हो जाती है
- लिंक खोलने, यूएसएसएसडी कोड निष्पादित करने और आगे मैलवेयर पैकेज तैनात करने की क्षमता
ये विशेषाधिकार संक्रमित डिवाइस को एक दूरस्थ रूप से नियंत्रित प्लेटफॉर्म में बदल देते हैं जो जटिल दुर्भावनापूर्ण संचालन को अंजाम देने में सक्षम है।
स्टारलिंक एप्लिकेशन के रूप में प्रच्छन्न उभरता हुआ संस्करण
सुरक्षा शोधकर्ताओं ने बीटबैंकर के एक नए संस्करण की पहचान की है जो एंड्रॉइड उपयोगकर्ताओं को निशाना बनाते हुए एक नकली स्टारलिंक एप्लिकेशन के रूप में काम करता है। पिछले संस्करणों के विपरीत, यह संस्करण पारंपरिक बैंकिंग ट्रोजन घटक को स्थापित नहीं करता है।
इसके बजाय, यह BTMOB रिमोट एडमिनिस्ट्रेशन ट्रोजन (RAT) को तैनात करता है। BTMOB हमलावरों को प्रभावित उपकरणों तक पूर्ण रिमोट एक्सेस प्रदान करता है और इसे मैलवेयर-एज़-ए-सर्विस (MaaS) के रूप में वितरित किया जाता है, जिससे साइबर अपराधी अपना खुद का मैलवेयर इंफ्रास्ट्रक्चर विकसित किए बिना इस टूल को खरीद और तैनात कर सकते हैं।
संक्रमण वाहक और परिचालन प्रभाव
बीटबैंकर संक्रमण आमतौर पर एक फ़िशिंग अभियान से शुरू होता है जो पीड़ितों को आधिकारिक Google Play Store जैसी दिखने वाली फर्जी वेबसाइटों पर ले जाता है। उपयोगकर्ताओं को सरकारी सेवाओं जैसे 'INSS Reembolso' या इसी तरह के नकली यूटिलिटी ऐप्स के रूप में दिखने वाले दुर्भावनापूर्ण एप्लिकेशन डाउनलोड करने के लिए राजी किया जाता है।
पीड़ित द्वारा नकली एप्लिकेशन इंस्टॉल करने के बाद डिवाइस असुरक्षित हो जाता है। सक्रियण के बाद, बीटबैंकर क्रिप्टोकरेंसी माइनर सहित अतिरिक्त घटकों को प्राप्त कर लेता है और डिवाइस तक स्थायी पहुंच स्थापित कर लेता है।
इस मैलवेयर की संयुक्त क्षमताओं से हमलावर क्रिप्टोकरेंसी माइन कर सकते हैं, वित्तीय डेटा चुरा सकते हैं, लेन-देन में हेरफेर कर सकते हैं और संक्रमित उपकरणों पर दूरस्थ नियंत्रण बनाए रख सकते हैं। कुछ प्रकार के मैलवेयर BTMOB जैसे अतिरिक्त मैलवेयर भी तैनात करते हैं, जिससे हमलावरों को प्रभावित सिस्टमों तक लंबे समय तक और बिना किसी प्रतिबंध के पहुंच प्राप्त हो जाती है।
