FireScam Mobile Malware
फायरस्कैम नामक एक नए पहचाने गए एंड्रॉइड खतरे का पता चला है। यह खुद को टेलीग्राम मैसेजिंग ऐप के उन्नत संस्करण के रूप में प्रच्छन्न करता है। यह भ्रामक रणनीति धमकी देने वाले सॉफ़्टवेयर को संवेदनशील उपयोगकर्ता डेटा निकालने और समझौता किए गए उपकरणों तक लगातार दूरस्थ पहुँच बनाए रखने में सक्षम बनाती है।
विषयसूची
एक चतुर भेस: नकली टेलीग्राम प्रीमियम एप्लिकेशन
फायरस्कैम को नकली 'टेलीग्राम प्रीमियम' एप्लीकेशन की आड़ में वितरित किया जाता है। यह GitHub.io पर होस्ट की गई एक फ़िशिंग वेबसाइट के माध्यम से फैलता है, जो खुद को रूस में एक प्रसिद्ध ऐप मार्केटप्लेस RuStore के रूप में गलत तरीके से प्रस्तुत करता है। सुरक्षा विश्लेषक इस मोबाइल खतरे को जटिल और अत्यधिक अनुकूलनीय बताते हैं। एक बार इंस्टॉल होने के बाद, यह एक बहु-चरणीय संक्रमण प्रक्रिया का अनुसरण करता है, जिसकी शुरुआत एक ड्रॉपर APK से होती है जो व्यापक निगरानी की सुविधा प्रदान करता है।
धोखाधड़ी वाली साइट, rustore-apk.github.io, RuStore के इंटरफेस की नकल करती है और इसे उपयोगकर्ताओं को 'GetAppsRu.apk' नामक ड्रॉपर APK फ़ाइल डाउनलोड करने के लिए धोखा देने के लिए डिज़ाइन किया गया है।
फायरस्कैम के हमले में ड्रॉपर की भूमिका
स्थापना के बाद, ड्रॉपर प्राथमिक पेलोड के लिए डिलीवरी तंत्र के रूप में कार्य करता है। यह मुख्य घटक संवेदनशील जानकारी - जैसे संदेश, सूचनाएँ और एप्लिकेशन डेटा - को फ़ायरबेस रीयलटाइम डेटाबेस में एकत्रित करने और संचारित करने के लिए ज़िम्मेदार है।
अपने नियंत्रण को मजबूत करने के लिए, ड्रॉपर कई अनुमतियों का अनुरोध करता है, जिसमें बाह्य भंडारण तक पहुंच और संस्करण 8 और नए संस्करण चलाने वाले एंड्रॉइड डिवाइसों पर एप्लिकेशन इंस्टॉल करने, अपडेट करने या हटाने की क्षमता शामिल है।
फायरस्कैम का एक विशेष रूप से चिंताजनक पहलू ENFORCE_UPDATE_OWNERSHIP अनुमति का शोषण करना है। यह एंड्रॉइड सुविधा किसी एप्लिकेशन के मूल इंस्टॉलर को उसका 'अपडेट स्वामी' बनने की अनुमति देती है, जिसका अर्थ है कि केवल नामित स्वामी ही अपडेट आरंभ कर सकता है। इस तंत्र का लाभ उठाकर, फायरस्कैम अन्य स्रोतों से वैध अपडेट को ब्लॉक कर सकता है, जिससे संक्रमित डिवाइस पर इसकी निरंतर उपस्थिति सुनिश्चित होती है।
उन्नत चोरी और निगरानी सुविधाएँ
फायरस्कैम पहचान और विश्लेषण का विरोध करने के लिए अस्पष्टीकरण तकनीकों का उपयोग करता है। यह आने वाली सूचनाओं, स्क्रीन स्थिति में परिवर्तन, उपयोगकर्ता गतिविधि, क्लिपबोर्ड सामग्री और यहां तक कि ऑनलाइन लेनदेन पर भी सक्रिय रूप से नज़र रखता है। यह खतरा रिमोट सर्वर से छवियों को डाउनलोड करने और संसाधित करने में भी सक्षम है, जो इसकी निगरानी क्षमताओं में एक और परत जोड़ता है।
लॉन्च होने पर, दुष्ट टेलीग्राम प्रीमियम ऐप उपयोगकर्ताओं के संपर्कों, कॉल लॉग और एसएमएस संदेशों तक पहुँचने की अनुमति माँगता है। फिर यह एक लॉगिन पेज प्रस्तुत करता है जो वेबव्यू के माध्यम से आधिकारिक टेलीग्राम वेबसाइट को दर्शाता है, उपयोगकर्ता क्रेडेंशियल्स को कैप्चर करने का प्रयास करता है। हालाँकि, डेटा संग्रह प्रक्रिया तब भी शुरू हो जाती है जब उपयोगकर्ता अपना लॉगिन विवरण दर्ज नहीं करता है।
सतत दूरस्थ पहुँच बनाए रखना
फायरस्कैम के सबसे खतरनाक कार्यों में से एक फायरबेस क्लाउड मैसेजिंग (FCM) नोटिफिकेशन के लिए रजिस्टर करने की इसकी क्षमता है। यह खतरे को दूरस्थ निर्देश प्राप्त करने और डिवाइस तक निरंतर गुप्त पहुंच बनाए रखने की अनुमति देता है। इसके अतिरिक्त, यह डेटा चोरी को सुविधाजनक बनाने और आगे की असुरक्षित कार्रवाइयों को अंजाम देने के लिए अपने कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एक वेबसॉकेट कनेक्शन स्थापित करता है।
अन्य हानिकारक घटक और अनुत्तरित प्रश्न
शोधकर्ताओं ने फ़िशिंग डोमेन पर होस्ट किए गए एक अन्य हानिकारक आर्टिफैक्ट की भी पहचान की, जिसे 'CDEK' कहा जाता है। यह नाम संभवतः एक रूसी लॉजिस्टिक्स और पैकेज-ट्रैकिंग सेवा को संदर्भित करता है, जो अकेले फायरस्कैम से परे व्यापक दुर्भावनापूर्ण गतिविधि का सुझाव देता है।
यह अभी भी स्पष्ट नहीं है कि इस ऑपरेशन के पीछे कौन है या उपयोगकर्ताओं को इन फ़िशिंग लिंक पर कैसे निर्देशित किया जा रहा है। संभावित रणनीति में एसएमएस फ़िशिंग (स्मिशिंग) या मैलवेयर अभियान शामिल हो सकते हैं। RuStore जैसी वैध सेवाओं की नकल करके, ये भ्रामक वेबसाइटें लोगों को धोखाधड़ी वाले एप्लिकेशन डाउनलोड करने के लिए मनाने के लिए उपयोगकर्ता के भरोसे का दुरुपयोग करती हैं।
डेटा को बाहर निकालने और निगरानी करने की फायरस्कैम की क्षमता फ़िशिंग-संचालित वितरण विधियों से जुड़े जोखिमों को रेखांकित करती है। यह मामला एंड्रॉइड उपयोगकर्ताओं को उन खतरों से बचाने में चल रही चुनौतियों को उजागर करता है जो सोशल इंजीनियरिंग और जाने-माने प्लेटफ़ॉर्म पर भरोसे का फायदा उठाते हैं।
