DocSwap मोबाइल मैलवेयर

मोबाइल खतरों के प्रति सतर्क रहना बेहद जरूरी है, क्योंकि राज्य से जुड़े संगठन सोशल इंजीनियरिंग और मैलवेयर पहुंचाने की तकनीकों को लगातार परिष्कृत कर रहे हैं। उत्तर कोरियाई समूह किमसुकी द्वारा किए गए हालिया हमले से पता चलता है कि हमलावर पीड़ितों के उपकरणों को निशाना बनाने के लिए फ़िशिंग, क्यूआर कोड और ट्रोजन युक्त एंड्रॉइड ऐप्स का इस्तेमाल कैसे कर रहे हैं।

किम्सुकी के नवीनतम एंड्रॉइड अभियान का खुलासा हुआ

सुरक्षा शोधकर्ताओं ने किमसुकी को डॉकस्वैप नामक एक नए एंड्रॉइड मैलवेयर वेरिएंट को फैलाने वाले एक नए अभियान से जोड़ा है। यह अभियान सियोल स्थित प्रसिद्ध लॉजिस्टिक्स कंपनी सीजे लॉजिस्टिक्स (जिसे पहले सीजे कोरिया एक्सप्रेस के नाम से जाना जाता था) की नकल करने वाली फ़िशिंग वेबसाइटों का दुरुपयोग करता है। ये नकली पेज भरोसेमंद दिखने के लिए डिज़ाइन किए गए हैं और शिपमेंट से संबंधित सूचनाओं की उम्मीद कर रहे उपयोगकर्ताओं को निशाना बनाते हैं।

क्यूआर कोड और फर्जी अलर्ट संक्रमण फैलाने वाले माध्यम के रूप में

हमलावर उपयोगकर्ताओं को दुर्भावनापूर्ण एप्लिकेशन इंस्टॉल करने के लिए लुभाने के लिए क्यूआर कोड और भ्रामक नोटिफिकेशन पॉप-अप का भरपूर इस्तेमाल करते हैं। डेस्कटॉप सिस्टम से एक्सेस किए जाने पर, फ़िशिंग पेज पर एक क्यूआर कोड दिखाई देता है जो विज़िटर को इसे एंड्रॉइड डिवाइस से स्कैन करने के लिए कहता है। यह रीडायरेक्शन तकनीक पीड़ित को शिपमेंट ट्रैकिंग या सुरक्षा सत्यापन ऐप के रूप में प्रस्तुत किए गए किसी एप्लिकेशन को इंस्टॉल करने के लिए प्रेरित करती है।

धोखे को और बढ़ाने के लिए, फ़िशिंग पेज एक ट्रैकिंग PHP स्क्रिप्ट चलाता है जो ब्राउज़र के यूज़र-एजेंट की जाँच करता है। इस जाँच के आधार पर, उपयोगकर्ताओं को ऐसे संदेश दिखाए जाते हैं जिनमें उन्हें एक तथाकथित सुरक्षा मॉड्यूल स्थापित करने के लिए कहा जाता है, जो कथित तौर पर 'अंतर्राष्ट्रीय सीमा शुल्क सुरक्षा नीतियों' का अनुपालन करने के लिए आवश्यक है। इस तरह की कहानी स्थापना अनुरोध को उचित ठहराने और संदेह को कम करने के लिए बनाई गई है।

एंड्रॉइड सुरक्षा चेतावनियों को दरकिनार करना

एंड्रॉइड अज्ञात स्रोतों से इंस्टॉलेशन को प्रतिबंधित करता है और प्रमुख चेतावनियाँ प्रदर्शित करता है, इसलिए हमलावर झूठा दावा करते हैं कि ऐप आधिकारिक और सुरक्षित है। यह सोशल इंजीनियरिंग रणनीति पीड़ितों पर दबाव डालती है और उन्हें अंतर्निहित सुरक्षा उपायों को अनदेखा करके चेतावनियों के बावजूद इंस्टॉलेशन जारी रखने के लिए प्रेरित करती है।

दुर्भावनापूर्ण APK वितरण और निष्पादन श्रृंखला

यदि पीड़ित सहमत होता है, तो 27.102.137.181 स्थित सर्वर से SecDelivery.apk नामक एक APK फ़ाइल डाउनलोड हो जाती है। लॉन्च होने पर, यह पैकेज अपने संसाधनों में एम्बेडेड एक एन्क्रिप्टेड APK को डिक्रिप्ट करता है। पेलोड को सक्रिय करने से पहले, यह सुनिश्चित करता है कि इसे बाहरी स्टोरेज को प्रबंधित करने, इंटरनेट एक्सेस करने और अतिरिक्त पैकेज इंस्टॉल करने की अनुमति प्राप्त हो गई है।

अनुमतियों की पुष्टि होने के बाद, मैलवेयर com.delivery.security.MainService नामक एक सेवा को पंजीकृत करता है और तुरंत OTP-आधारित पहचान जाँच के रूप में एक गतिविधि शुरू करता है। यह नकली प्रमाणीकरण स्क्रीन एक डिलीवरी नंबर मांगती है, जो APK में 742938128549 के रूप में हार्ड-कोड किया गया है और संभवतः प्रारंभिक फ़िशिंग चरण के दौरान पीड़ितों को प्रदान किया जाता है।

भ्रामक प्रमाणीकरण और मौन समझौता

डिलीवरी नंबर दर्ज करने पर, ऐप एक यादृच्छिक छह-अंकीय सत्यापन कोड जनरेट करता है और उसे एक सूचना के रूप में प्रदर्शित करता है। उपयोगकर्ता को यह कोड दर्ज करने के लिए कहा जाता है, जिससे एक वैध सुरक्षा प्रक्रिया का भ्रम पैदा होता है। कोड दर्ज करने के बाद, ऐप एक वेबव्यू खोलता है जो असली सीजे लॉजिस्टिक्स ट्रैकिंग पेज की ओर इंगित करता है, जिससे गतिविधि प्रामाणिक प्रतीत होती है।

इस बीच, दुर्भावनापूर्ण घटक चुपचाप हमलावर द्वारा नियंत्रित कमांड-एंड-कंट्रोल सर्वर से 27.102.137.181 पर पोर्ट 50005 पर कनेक्ट हो जाता है। इस बिंदु से, नव तैनात डॉकस्वैप वेरिएंट एक पूर्ण-विशेषता वाले रिमोट एक्सेस ट्रोजन के रूप में कार्य करता है।

दूरस्थ पहुंच क्षमताएं और डेटा चोरी

यह मैलवेयर अपने संचालकों से दर्जनों कमांड प्राप्त करने में सक्षम है, जिससे संक्रमित डिवाइस पर व्यापक निगरानी और नियंत्रण संभव हो जाता है। इसकी कार्यक्षमता में उपयोगकर्ता की जानकारी को लॉग करना, संचार की निगरानी करना और संवेदनशील व्यक्तिगत डेटा निकालना शामिल है, जिससे प्रभावित स्मार्टफोन एक शक्तिशाली जासूसी उपकरण में बदल जाता है।

ट्रोजनयुक्त ऐप्स और विस्तारित वितरण

फर्जी डिलीवरी ऐप के अलावा, शोधकर्ताओं ने पी2बी एयरड्रॉप एप्लिकेशन और वैध वीपीएन उत्पाद, बायकॉम वीपीएन के एक समझौता किए गए संस्करण के रूप में छद्मवेश धारण करने वाले अतिरिक्त दुर्भावनापूर्ण नमूनों की पहचान की। असली वीपीएन ऐप गूगल प्ले पर उपलब्ध है और इसे भारतीय कंपनी बायकॉम सॉल्यूशंस द्वारा विकसित किया गया है। विश्लेषण से पता चलता है कि किमसुकी ने वैध एपीके में दुर्भावनापूर्ण कोड डाला और इसे अभियान में उपयोग के लिए पुनः पैक किया।

फ़िशिंग इंफ्रास्ट्रक्चर और क्रेडेंशियल हार्वेस्टिंग

सहायक बुनियादी ढांचे की जांच से पता चला कि लोकप्रिय दक्षिण कोरियाई प्लेटफॉर्म जैसे कि नेवर और काकाओ की नकल करने वाली फ़िशिंग वेबसाइटें मौजूद थीं। ये साइटें उपयोगकर्ता क्रेडेंशियल चुराने के लिए डिज़ाइन की गई थीं और किमसुकी के पहले के उन अभियानों से मिलती-जुलती थीं, जिन्होंने विशेष रूप से नेवर उपयोगकर्ताओं को निशाना बनाया था, जिससे स्थापित बुनियादी ढांचे के पुन: उपयोग और विस्तार का संकेत मिलता है।

मैलवेयर डिज़ाइन का विकास

हालांकि तैनात मैलवेयर अभी भी पिछले किमसुकी टूल के समान एक RAT सेवा शुरू करता है, लेकिन यह उल्लेखनीय विकास दर्शाता है। एम्बेडेड APK के लिए एक नए नेटिव डिक्रिप्शन फ़ंक्शन का उपयोग और कई डेकोय व्यवहारों का समावेश निरंतर विकास और प्रभावशीलता बढ़ाते हुए पता लगने से बचने के प्रयास को इंगित करता है।