MalRhino Android बैंकिंग ट्रोजन
मालराइनो एंड्रॉइड बैंकिंग ट्रोजन एक अवर्गीकृत मैलवेयर परिवार से संबंधित दूसरा खतरा है जिसे चेक प्वाइंट रिसर्च द्वारा खोजा गया था। जहां धमकी देने वाले अभिनेताओं ने PixStealer नाम की अपनी अन्य खतरनाक रचनाओं के साथ एक न्यूनतम दृष्टिकोण अपनाया, वहीं MalRhino विशिष्ट Android बैंकिंग ट्रोजन के अनुरूप है। इसका मतलब यह नहीं है कि खतरा कई उपन्यास या शायद ही कभी देखी जाने वाली तकनीकों से लैस नहीं है। दो खतरों के बीच संबंध उनके प्रकटीकरण, लॉग संदेशों, सेवा और विधि के नाम आदि में समानता के आधार पर बनाया गया था।
MalRhino विश्लेषण
यह खतरा एंड्रॉइड एक्सेसिबिलिटी सर्विस का भी दुरुपयोग करता है ताकि वह अपने हानिकारक कार्यों को कर सके। एक्सेसिबिलिटी सर्विस का उद्देश्य विकलांग लोगों के लिए डिवाइस को नियंत्रित करना कहीं अधिक आसान बनाना है। हैकर्स ने इसके माध्यम से उपलब्ध कई कार्यों पर ध्यान दियातेजी से और अपने मैलवेयर निर्माण में सेवा का फायदा उठा रहे हैं। उदाहरण के लिए, वे डिवाइस की स्क्रीन पर होने वाली गतिविधियों की निगरानी कर सकते हैं और उन्हें इंटरसेप्ट कर सकते हैं। इसके अलावा, हमलावर क्लिक और टैप का अनुकरण कर सकते हैं जैसे कि उपयोगकर्ता ने उन्हें बनाया हो।
हालांकि, MalRhino जिस तरह से एक्सेसिबिलिटी इवेंट्स को गतिशील रूप से संसाधित करने में सक्षम है, वह काफी दिलचस्प है। खतरा मोज़िला के राइनो ढांचे के माध्यम से जावास्क्रिप्ट का उपयोग करता है। फिर हमलावर शीर्ष चल रहे एप्लिकेशन को स्कैन कर सकते हैं। यदि यह लक्षित अनुप्रयोगों में से किसी एक से मेल खाता है, तो हैकर्स विशिष्ट कोड को निष्पादित करने के लिए अपने रिमोट एक्सेस का लाभ उठा सकते हैं। पिछली बार चेक प्वाइंट शोधकर्ताओं ने इस तकनीक को एक मैलवेयर खतरे में 2016 में एक्सबॉट बैंकर मैलवेयर के हिस्से के रूप में देखा था।
MalRhino अटैक चेन
ब्राजील के इंटर बैंक के आईटोकन एप्लिकेशन के नकली संस्करणों के माध्यम से खतरे को तैनात किया जा रहा है। ट्रोजनाइज़्ड एप्लिकेशन का पैकेज नाम 'com.gnservice.beta' है, और यह संकेत दे सकता है कि खतरा अभी भी अपने विकास के प्रारंभिक चरण में है। यह ध्यान दिया जाना चाहिए कि नकली एप्लिकेशन आधिकारिक Google Play Store से डाउनलोड के लिए उपलब्ध था।
एक बार पीड़ित के डिवाइस के अंदर, मालराइनो एक संदेश प्रदर्शित करेगा जिसमें एक्सेसिबिलिटी अनुमतियां मांगी जाएंगी। उपयोगकर्ता को बरगलाने के लिए, एप्लिकेशन यह दिखावा करता है कि उसे ठीक से काम करने के लिए अनुमति की आवश्यकता है। सफल होने पर, ट्रोजन लक्षित एप्लिकेशन चलाने में सक्षम होगा (ज्यादातर बैंक एप्लिकेशन, डिवाइस डेटा एकत्र करना, और इंस्टॉल किए गए ऐप्स की सूची और अधिग्रहीत जानकारी को इसके कमांड-एंड-कंट्रोल (सी एंड सी, सी 2) सर्वर पर भेज दें। एक और विशिष्ट, धमकी देने वाली कार्यक्षमता में नुबैंक ऐप से पिन कोड प्राप्त करना शामिल है।
MalRhino खतरा आगे उनके उपकरणों पर एप्लिकेशन को अनुमति देते समय सावधानी बरतने की आवश्यकता को प्रदर्शित करता है, भले ही एप्लिकेशन आधिकारिक स्टोर प्लेटफॉर्म के माध्यम से इंस्टॉल किए गए हों।
