Coper Banking Trojan
डॉक्टर वेब के इन्फोसेक शोधकर्ताओं ने एंड्रॉइड बैंकिंग ट्रोजन के एक नए परिवार का खुलासा किया है जो कोलंबियाई उपयोगकर्ताओं को लक्षित कर रहा है। कॉपर बैंकिंग ट्रोजन नाम दिया गया, यह खतरा एंड्रॉइड डिवाइसों से समझौता करने और कई हानिकारक गतिविधियों को चलाने के लिए एक बहु-स्तरीय संक्रमण श्रृंखला को नियोजित करता है, मुख्य रूप से उपयोगकर्ता की बैंकिंग साख एकत्र करने की कोशिश करता है। इसके अलावा, खोजे गए ट्रोजन में पता लगाने को और अधिक कठिन बनाने के लिए एक मॉड्यूलर संरचना है और कई दृढ़ता तंत्र से लैस हैं जो विभिन्न प्रकार के हटाने के प्रयासों से खतरे को बचाते हैं।
विषयसूची
हमले की श्रृंखला
कॉपर बैंकिंग ट्रोजन भ्रष्ट अनुप्रयोगों के माध्यम से फैला हुआ है जैसे कि यह प्रकट करने के लिए डिज़ाइन किया गया है कि वे बैंकोलम्बिया द्वारा जारी वैध एप्लिकेशन हैं। ऐसे ही एक नकली एप्लिकेशन को बैकोलोम्बिया पर्सनस कहा जाता है और इसका आइकन आधिकारिक बैंकोलोम्बिया एप्लिकेशन की शैली और रंग पैलेट की नकल करता है। इस स्तर पर, घुसपैठ किए गए एंड्रॉइड डिवाइस पर एक ड्रॉपर दिया जाता है। ड्रॉपर का मुख्य लक्ष्य अगले चरण के पेलोड को डिक्रिप्ट और निष्पादित करना है जो 'o.html' नामक वेब दस्तावेज़ होने का दिखावा कर रहा है।
दूसरे चरण का मॉड्यूल एक्सेसिबिलिटी सर्विसेज फंक्शन प्राप्त करने के लिए जिम्मेदार है। यह खतरे की कई असुरक्षित क्षमताओं के लिए आवश्यक है, क्योंकि वे कॉपर ट्रोजन को समझौता किए गए डिवाइस को नियंत्रित करने और उपयोगकर्ता कार्यों को करने की अनुमति देंगे, जैसे कि विशिष्ट बटन दबाने की नकल करना। मैलवेयर अंतर्निहित मैलवेयर सुरक्षा Google Play प्रोटेक्ट को अक्षम करने का भी प्रयास करेगा।
संक्रमण श्रृंखला के तीसरे चरण के दौरान, बैंकिंग ट्रोजन का मुख्य मॉड्यूल डिक्रिप्ट और आरंभ किया जाता है। उपयोगकर्ता का ध्यान आकर्षित करने से बचने के लिए, यह खतरनाक घटक कैश प्लगइन नामक एप्लिकेशन के रूप में प्रच्छन्न सिस्टम पर स्थापित किया गया है। ट्रोजन डिवाइस की बैटरी ऑप्टिमाइजेशन व्हाइट-लिस्ट में जोड़ने के लिए कहेगा, जिससे यह सिस्टम द्वारा समाप्त होने से बच सके। इसके अलावा, ट्रीट खुद को डिवाइस एडमिनिस्ट्रेटर के रूप में स्थापित करेगा जो इसे फोन कॉल और एसएमएस तक पहुंच प्रदान करता है।
दुर्भावनापूर्ण क्षमताएं
होम स्क्रीन से अपने आइकन को हटाने के बाद, कॉपर ट्रोजन अपने कमांड-एंड-कंट्रोल (सी एंड सी, सी 2) सर्वर को सूचित करेगा और प्रतीक्षा मोड में प्रवेश करेगा। खतरा समय-समय पर, डिफ़ॉल्ट रूप से हर मिनट में एक बार, नए निर्देशों के लिए C&C सर्वर से संपर्क करेगा। हमलावर एसएमएस भेज सकते हैं और इंटरसेप्ट कर सकते हैं, स्क्रीन को लॉक/अनलॉक कर सकते हैं, कीलॉगर रूटीन चला सकते हैं, नई पुश नोटिफिकेशन प्रदर्शित कर सकते हैं या आने वाले लोगों को इंटरसेप्ट कर सकते हैं, एप्लिकेशन को अनइंस्टॉल कर सकते हैं या खुद को अनइंस्टॉल करने का खतरा बता सकते हैं।
धमकी देने वाले अभिनेता अपने बुरे दिमाग वाले लक्ष्यों को बेहतर ढंग से पूरा करने के लिए खतरे के व्यवहार को भी संशोधित कर सकते हैं। C&C सर्वरों की ट्रोजन सूची, लक्षित एप्लिकेशन, हटाने के लिए एप्लिकेशन की सूची, या जिन्हें चलने से रोका जाना है, सभी को समायोजित किया जा सकता है।
कॉपर को बैंकिंग ट्रोजन के रूप में वर्गीकृत किया गया है और जैसे, इसका मुख्य लक्ष्य बैंकिंग क्रेडेंशियल्स एकत्र करना है। यह लगभग समान फ़िशिंग पृष्ठ के साथ लक्षित अनुप्रयोगों की वैध लॉगिन स्क्रीन को ओवरले करता है। नकली पेज की सामग्री को सी एंड सी से डाउनलोड किया जाता है और फिर वेबव्यू में रखा जाता है। किसी भी दर्ज की गई जानकारी को हटा दिया जाएगा और हैकर्स पर अपलोड कर दिया जाएगा।
रक्षात्मक तकनीक
कॉपर बैंकिंग ट्रोजन कई सुरक्षात्मक उपायों को प्रदर्शित करता है जो डिवाइस पर खतरे की निरंतर उपस्थिति सुनिश्चित करते हैं या विशिष्ट परिस्थितियों में इसे चलने से रोकते हैं। उदाहरण के लिए, उपयोगकर्ता के देश को निर्धारित करने के लिए खतरा कई जांच करता है, यदि कोई सक्रिय सिम कार्ड डिवाइस से जुड़ा है, या यदि इसे वर्चुअल वातावरण में निष्पादित किया जा रहा है। यहां तक कि अगर कोई एक चेक निर्दिष्ट मापदंडों के भीतर नहीं है, तो खतरा अपने आप समाप्त हो जाएगा।
एक अन्य तकनीक में ट्रोजन स्कैनिंग सक्रिय रूप से उन कार्यों के लिए शामिल है जो इसे नुकसान पहुंचा सकते हैं। खतरा यह पता लगा सकता है कि क्या उपयोगकर्ता Play Store एप्लिकेशन में Google Play प्रोटेक्ट पेज खोलने की कोशिश कर रहा है, डिवाइस एडमिनिस्ट्रेटर को बदलने का प्रयास कर रहा है, ट्रोजन के सूचना पृष्ठ को देखने का प्रयास कर रहा है या इसे एक्सेसिबिलिटी सर्विसेज फीचर से बाहर कर रहा है। उन कार्यों में से किसी का पता लगाने पर, उपयोगकर्ता को होम स्क्रीन पर वापस करने के लिए होम बटन दबाने पर खतरा अनुकरण करेगा। उपयोगकर्ता को ट्रोजन को अनइंस्टॉल करने से रोकने के लिए एक समान विधि का उपयोग किया जाता है क्योंकि यह बैक बटन को हिट करने का अनुकरण करता है।
हालांकि खतरे के वर्तमान सक्रिय नमूने केवल कोलंबियाई उपयोगकर्ताओं पर केंद्रित प्रतीत होते हैं, कॉपर बेकिंग ट्रोजन के ऑपरेटरों को अगले जारी संस्करणों में अपने संचालन का विस्तार करने के लिए कुछ भी नहीं रोक रहा है।
