कॉन्फेटी मोबाइल मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने कुख्यात एंड्रॉइड मैलवेयर, कॉन्फेटी, के एक उन्नत संस्करण का पता लगाया है, जो अब बड़े पैमाने पर विज्ञापन धोखाधड़ी करने के लिए ईविल ट्विन तकनीक का इस्तेमाल करता है। यह तरीका मोबाइल पारिस्थितिकी तंत्र को निशाना बनाने वाले खतरों की बढ़ती जटिलता को रेखांकित करता है।
विषयसूची
दुष्ट जुड़वां रणनीति की व्याख्या
नए तरीके में एक ही पैकेज नाम वाले एप्लिकेशन के दो संस्करण बनाना शामिल है। एक संस्करण एक वैध, हानिरहित ऐप होता है जो अक्सर Google Play Store पर उपलब्ध होता है, जबकि इसका दुर्भावनापूर्ण प्रतिरूप, 'दुष्ट जुड़वाँ', तृतीय-पक्ष स्रोतों के माध्यम से वितरित किया जाता है। उल्लेखनीय है कि फ़र्ज़ी ऐप का स्रोत स्वयं हमलावरों से ही होना ज़रूरी नहीं है; कई मामलों में, यह Play Store पर पहले से मौजूद एक प्रामाणिक ऐप होता है। केवल आवश्यकता यह है कि दुर्भावनापूर्ण संस्करण समान पैकेज नाम का उपयोग करे, जो इसकी उपस्थिति को छिपाने में मदद करता है।
अनुकूलनशीलता और उन्नत तकनीकें
कॉन्फेटी के पीछे के कर्ताधर्ताओं ने उल्लेखनीय अनुकूलनशीलता दिखाई है, लक्षित विज्ञापन नेटवर्क में बार-बार बदलाव करते हुए और पहचान से बचने के लिए तकनीकों को परिष्कृत करते हुए। नवीनतम संस्करण APK की ZIP संरचना के साथ छेड़छाड़ करके इसे और आगे ले जाता है। विकृत APK के उपयोग से, हमलावर सुरक्षा जाँचों को दरकिनार कर देते हैं और रिवर्स-इंजीनियरिंग प्रयासों को जटिल बना देते हैं। वे रनटाइम के दौरान मुख्य Dalvik Executable (DEX) पेलोड को गतिशील रूप से लोड करते हैं, साथ ही एक विशिष्ट ZIP फ़्लैग को सक्षम करते हैं जो सिस्टम को यह विश्वास दिलाकर गुमराह करता है कि फ़ाइल एन्क्रिप्टेड है। यह निरीक्षण के दौरान एक गलत पासवर्ड संकेत उत्पन्न करता है, जिससे विश्लेषकों को सामग्री तक पहुँचने से प्रभावी रूप से रोक दिया जाता है।
संपीड़न ट्रिक्स और विश्लेषण व्यवधान
अस्पष्टता की एक और परत में, कॉन्फेटी AndroidManifest.xml फ़ाइल में BZIP संपीड़न विधि का उपयोग करने का झूठा दावा करता है। यह गलत प्रस्तुति पार्सिंग विफलताओं, कुछ विश्लेषण उपकरणों के क्रैश होने और फोरेंसिक प्रयासों में रुकावट का कारण बन सकती है। इसी तरह की संपीड़न-आधारित चोरी पहले SoumniBot मैलवेयर में देखी गई थी, जो बताती है कि यह एंड्रॉइड मैलवेयर विकास में एक उभरती प्रवृत्ति का हिस्सा है।
गतिशील कोड लोडिंग के माध्यम से चुपके
कॉन्फेटी की गुप्त गतिविधियों में डायनेमिक कोड लोडिंग एक महत्वपूर्ण भूमिका निभाती है। मैलवेयर निष्पादन के दौरान अपने DEX पेलोड को डिक्रिप्ट करके सीधे मेमोरी में लोड कर देता है, जिससे ऐप इंस्टॉलेशन या स्टैटिक विश्लेषण के दौरान होने वाली सामान्य सुरक्षा जाँचों से बचा जा सकता है। एन्क्रिप्टेड एसेट्स और भ्रामक मेनिफेस्ट प्रविष्टियों के साथ, यह स्तरित अस्पष्टीकरण रणनीति कॉन्फेटी को पहचान और रिवर्स इंजीनियरिंग के प्रति विशेष रूप से लचीला बनाती है।
दुर्भावनापूर्ण क्षमताएं और जियोफेंसिंग
पिछले संस्करणों की तरह, कॉन्फेटी विज्ञापन प्राप्त करने, अतिरिक्त पेलोड वितरित करने और हमलावर-नियंत्रित सर्वरों के साथ संचार बनाए रखने के लिए कैरमेलएड्स एसडीके को एकीकृत करता है। विज्ञापन धोखाधड़ी के अलावा, इसमें उपयोगकर्ताओं को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित करने, अवांछित ऐप इंस्टॉलेशन शुरू करने और लगातार, स्पैम जैसी ब्राउज़र सूचनाएँ भेजने की क्षमता भी है। अपनी गुप्तता के अलावा, कॉन्फेटी अपने ऐप आइकन को छुपाता है और पीड़ित की भौगोलिक स्थिति के आधार पर उसके व्यवहार को संशोधित करने के लिए जियोफेंसिंग रणनीति का उपयोग करता है।
सारांश
कॉन्फेटी का विकास मोबाइल मैलवेयर की परिष्कृतता में स्पष्ट वृद्धि को दर्शाता है। उन्नत एपीके छेड़छाड़, गतिशील कोड इंजेक्शन और भ्रामक कॉन्फ़िगरेशन का इसका संयोजन, सुरक्षा नियंत्रणों को दरकिनार करने और संक्रमित उपकरणों पर अपनी पकड़ बनाए रखने के लिए लगातार नए खतरों का प्रदर्शन करता है।
