गिरगिट मोबाइल मैलवेयर
एंड्रॉइड ट्रोजन के एक नए रूप को 'गिरगिट' के रूप में संदर्भित किया गया है, जो 2023 की शुरुआत के बाद से ऑस्ट्रेलिया और पोलैंड दोनों में उपयोगकर्ताओं को लक्षित कर रहा है। यह विशेष मैलवेयर वैध संस्थाओं की नकल करने के लिए डिज़ाइन किया गया है, जैसे कि कॉइनस्पॉट क्रिप्टोक्यूरेंसी एक्सचेंज, एक ऑस्ट्रेलियाई सरकारी एजेंसी, और IKO बैंक।
साइबर सिक्यॉरिटी फर्म Cyble के मुताबिक, माना जा रहा है कि इस मोबाइल मालवेयर का डिस्ट्रीब्यूशन कई चैनलों के जरिए हुआ है। इनमें छेड़छाड़ की गई वेबसाइटें, लोकप्रिय संचार प्लेटफॉर्म डिस्कॉर्ड पर अटैचमेंट और बिटबकेट द्वारा प्रदान की जाने वाली होस्टिंग सेवाएं शामिल हैं। इसके अलावा, गिरगिट एंड्रॉइड ट्रोजन हानिकारक क्षमताओं का एक व्यापक स्पेक्ट्रम समेटे हुए है, जिसमें ओवरले इंजेक्शन और कीलॉगिंग के साथ-साथ समझौता किए गए डिवाइस से कुकीज़ और एसएमएस संदेशों के संग्रह के माध्यम से उपयोगकर्ता क्रेडेंशियल्स की चोरी शामिल है।
विषयसूची
गिरगिट विभिन्न एंटी-डिटेक्शन चेक करता है
भंग किए गए Android डिवाइस पर निष्पादन पर, गिरगिट मोबाइल मैलवेयर सुरक्षा सॉफ़्टवेयर द्वारा पता लगाने से बचने के लिए कई तकनीकों का उपयोग करता है। इन रणनीतियों में यह निर्धारित करने के लिए एंटी-इम्यूलेशन चेक शामिल हैं कि क्या डिवाइस रूट किया गया है और क्या डिबगिंग सक्रिय किया गया है। यदि खतरे का पता चलता है कि यह एक विश्लेषक के वातावरण में चल रहा है, तो यह पता लगाने से बचने के लिए संक्रमण प्रक्रिया को पूरी तरह से समाप्त कर सकता है।
यदि यह निर्धारित करता है कि पर्यावरण सुरक्षित है, गिरगिट अपनी दुर्भावनापूर्ण प्रोग्रामिंग के साथ आगे बढ़ता है और पीड़ित को अभिगम्यता सेवा का उपयोग करने के लिए अधिकृत करने का संकेत देता है। इस अनुमति का तब खुद को अतिरिक्त विशेषाधिकार प्रदान करने, Google Play प्रोटेक्ट को बंद करने और पीड़ित को ट्रोजन की स्थापना रद्द करने से रोकने की धमकी देकर शोषण किया जाता है।
गिरगिट मोबाइल मालवेयर के जरिए हमलावर कई तरह की खतरनाक गतिविधियां कर सकते हैं
कमांड एंड कंट्रोल (C2) सर्वर के साथ संबंध स्थापित करने पर, गिरगिट मैलवेयर डिवाइस के संस्करण, मॉडल, रूट स्थिति, देश और सटीक स्थान भेजकर संचार शुरू करता है। ऐसा माना जाता है कि यह नए संक्रमण को प्रोफाइल करने और उसके अनुसार अपनी गतिविधियों को अनुकूलित करने का प्रयास है।
इसके बाद, उस इकाई के आधार पर जो मैलवेयर प्रतिरूपण कर रहा है, यह वेबव्यू में एक वैध यूआरएल खोलता है और पृष्ठभूमि में दुर्भावनापूर्ण मॉड्यूल लोड करना शुरू करता है। इन मॉड्यूल में एक कुकी चोरी करने वाला, एक कीलॉगर, एक फ़िशिंग पेज इंजेक्टर, एक लॉक स्क्रीन पिन/पैटर्न पकड़ने वाला, और एक एसएमएस चोरी करने वाला शामिल है। उत्तरार्द्ध विशेष रूप से संबंधित है क्योंकि यह वन-टाइम पासवर्ड निकाल सकता है, जिससे हमलावरों को दो-कारक प्रमाणीकरण सुरक्षा को बायपास करने की अनुमति मिलती है।
गिरगिट मालवेयर डेटा एकत्र करने की अपनी गतिविधियों को अंजाम देने के लिए एक्सेसिबिलिटी सर्विसेज के दुरुपयोग पर निर्भर करता है। यह मैलवेयर को स्क्रीन सामग्री की निगरानी करने, विशिष्ट घटनाओं का पता लगाने, इंटरफ़ेस तत्वों को संशोधित करने और आवश्यकतानुसार आवश्यक एपीआई कॉल भेजने की क्षमता प्रदान करता है।
गिरगिट मोबाइल मैलवेयर संक्रमित उपकरणों पर दृढ़ता स्थापित करता है
अपनी डेटा-संग्रह गतिविधियों के अलावा, गिरगिट मैलवेयर असुरक्षित एप्लिकेशन को हटाने में बाधा डालने के लिए एक्सेसिबिलिटी सर्विसेज का भी लाभ उठाता है। यह पीड़ित द्वारा स्थापना रद्द करने के प्रयासों की निगरानी करके और मैलवेयर से जुड़े साझा वरीयता चर को हटाकर इसे पूरा करता है। इससे ऐसा प्रतीत होता है जैसे ऐप को अनइंस्टॉल कर दिया गया है, वास्तव में, यह डिवाइस पर रहता है।
इसके अलावा, साइबर सुरक्षा फर्म साइबल ने गिरगिट के भीतर कोड की खोज की है जो इसे रनटाइम के दौरान एक पेलोड डाउनलोड करने और इसे '.jar' फ़ाइल के रूप में होस्ट डिवाइस पर सहेजने की अनुमति देता है। इस फ़ाइल को बाद में DexClassLoader के माध्यम से निष्पादित करने का इरादा है। हालाँकि, यह सुविधा वर्तमान में मैलवेयर द्वारा उपयोग में नहीं आती है।
