नेक्रो ट्रोजन
2019 में, साइबर सुरक्षा शोधकर्ताओं ने एक परेशान करने वाली समस्या का खुलासा किया: Google Play Store पर एक वैध Android एप्लिकेशन को डेवलपर्स द्वारा विज्ञापन राजस्व उत्पन्न करने के लिए उपयोग की जाने वाली तृतीय-पक्ष लाइब्रेरी द्वारा समझौता किया गया था। इस संशोधन के परिणामस्वरूप 100 मिलियन डिवाइस हमलावरों द्वारा नियंत्रित सर्वर से जुड़ गए, जिन्होंने फिर छिपे हुए पेलोड तैनात किए।
ऐसी ही स्थिति अब फिर से सामने आई है। इन्फोसेक विशेषज्ञों ने दो नए एप्लिकेशन की पहचान की है, जिन्हें Google Play से 11 मिलियन बार डाउनलोड किया गया है, जो एक ही मैलवेयर परिवार से संक्रमित हैं। ऐसा प्रतीत होता है कि विज्ञापन सुविधाओं को एकीकृत करने के लिए उपयोग किए जाने वाले असुरक्षित सॉफ़्टवेयर डेवलपमेंट किट को एक बार फिर दोषी ठहराया गया है।
विषयसूची
एसडीके क्या है?
सॉफ़्टवेयर डेवलपमेंट किट या SDK, डेवलपर्स को पहले से बनाए गए फ़्रेमवर्क प्रदान करते हैं जो नियमित कार्यों को संभालकर एप्लिकेशन निर्माण प्रक्रिया को सरल और तेज़ बनाते हैं। इस मामले में, एक असत्यापित SDK मॉड्यूल, जो विज्ञापन प्रदर्शन का समर्थन करने के लिए डिज़ाइन किया गया प्रतीत होता है, को एप्लिकेशन में एकीकृत किया गया था। हालाँकि, सतह के नीचे, इसने समझौता किए गए सर्वरों के साथ गुप्त रूप से संचार करने के लिए उन्नत तरीकों को सक्षम किया। इसने एप्लिकेशन को उपयोगकर्ता डेटा अपलोड करने और हानिकारक कोड डाउनलोड करने की अनुमति दी, जिसे किसी भी समय निष्पादित या अपडेट किया जा सकता था।
नेक्रो ट्रोजन्स डिवाइसों को कैसे संक्रमित करते हैं?
दोनों अभियानों के पीछे मैलवेयर परिवार को नेक्रो कहा जाता है, और इस मामले में, कुछ वेरिएंट स्टेगनोग्राफी जैसी उन्नत तकनीकों का उपयोग करते हैं - मोबाइल खतरों में एक दुर्लभ अस्पष्टीकरण विधि। कुछ वेरिएंट उन्नत सिस्टम विशेषाधिकारों के साथ काम करने में सक्षम धोखाधड़ी कोड वितरित करने के लिए परिष्कृत तरीकों का भी उपयोग करते हैं। एक बार जब कोई डिवाइस संक्रमित हो जाता है, तो यह हमलावर द्वारा नियंत्रित कमांड-एंड-कंट्रोल सर्वर से संचार करता है। यह एन्क्रिप्टेड JSON डेटा भेजता है जो समझौता किए गए डिवाइस और धोखाधड़ी मॉड्यूल को होस्ट करने वाले एप्लिकेशन के बारे में विवरण रिपोर्ट करता है।
इसके बाद सर्वर JSON संदेश के साथ प्रतिक्रिया करता है जिसमें PNG छवि का लिंक और छवि के हैश वाले मेटाडेटा शामिल होते हैं। यदि संक्रमित डिवाइस पर मॉड्यूल हैश को सत्यापित करता है, तो यह छवि को डाउनलोड करने के लिए आगे बढ़ता है।
शोधकर्ताओं ने बताया कि SDK मॉड्यूल एक सरल स्टेग्नोग्राफ़िक एल्गोरिदम का उपयोग करता है। MD5 जाँच पास करने पर, यह PNG फ़ाइल की सामग्री, विशेष रूप से ARGB चैनलों से पिक्सेल मानों को मानक Android टूल का उपयोग करके निकालता है। getPixel विधि एक मान प्राप्त करती है जहाँ सबसे कम महत्वपूर्ण बाइट में छवि का नीला चैनल होता है, और मैलवेयर वहाँ से अपना प्रसंस्करण शुरू करता है।
नेक्रो ट्रोजन के कारण गंभीर परिणाम हो सकते हैं
मैलवेयर द्वारा इंस्टॉल किए गए फॉलो-ऑन पेलोड धोखाधड़ी वाले प्लगइन डाउनलोड करते हैं जिन्हें प्रत्येक संक्रमित डिवाइस के लिए विभिन्न क्रियाएं करने के लिए अनुकूलित किया जा सकता है। ऐसा ही एक प्लगइन कोड को उन्नत सिस्टम विशेषाधिकारों के साथ निष्पादित करने की अनुमति देता है। आम तौर पर, एंड्रॉइड विशेषाधिकार प्राप्त प्रक्रियाओं को वेबव्यू का उपयोग करने से रोकता है - अनुप्रयोगों के भीतर वेब पेज प्रदर्शित करने के लिए एक घटक। इस प्रतिबंध को दूर करने के लिए, नेक्रो एक तकनीक का उपयोग करता है जिसे रिफ्लेक्शन अटैक के रूप में जाना जाता है ताकि वेबव्यू फैक्ट्री की एक अलग घटना बनाई जा सके।
इसके अतिरिक्त, यह प्लगइन अन्य फ़ाइलों को डाउनलोड और निष्पादित कर सकता है जो WebView के माध्यम से प्रदर्शित लिंक को संशोधित करते हैं। उन्नत सिस्टम अधिकारों के साथ, ये निष्पादन योग्य भुगतान किए गए सदस्यता के लिए पुष्टिकरण कोड डालने और हमलावर-नियंत्रित लिंक से कोड डाउनलोड और चलाने के लिए URL बदल सकते हैं। शोधकर्ताओं ने नेक्रो के अपने विश्लेषण के दौरान पाँच अलग-अलग पेलोड की पहचान की। इसके अलावा, नेक्रो की मॉड्यूलर संरचना मैलवेयर को संचालित करने के लिए कई तरीके प्रदान करती है।
नेक्रो ट्रोजन दो अनुप्रयोगों में पाया गया
शोधकर्ताओं ने Google Play पर दो एप्लिकेशन में नेक्रो की पहचान की। उनमें से एक, वुटा कैमरा, ने 10 मिलियन डाउनलोड प्राप्त किए हैं। वुटा कैमरा के संस्करण 6.3.2.148 से 6.3.6.148 में संक्रमण के लिए जिम्मेदार दुर्भावनापूर्ण SDK शामिल था, लेकिन हानिकारक घटक को खत्म करने के लिए एप्लिकेशन को तब से अपडेट किया गया है। लगभग 1 मिलियन डाउनलोड के साथ एक अन्य एप्लिकेशन, मैक्स ब्राउज़र भी समझौता किया गया था; हालाँकि, यह अब Google Play पर उपलब्ध नहीं है।
इसके अलावा, शोधकर्ताओं ने पाया कि नेक्रो वैकल्पिक बाज़ारों में पेश किए गए कई एंड्रॉइड एप्लिकेशन को संक्रमित कर रहा है। ये एप्लिकेशन आमतौर पर स्पॉटिफ़ाई, माइनक्राफ्ट, व्हाट्सएप, स्टम्बल गाइज़, कार पार्किंग मल्टीप्लेयर और मेलन सैंडबॉक्स सहित वैध एप्लिकेशन के संशोधित संस्करण के रूप में प्रस्तुत किए जाते हैं।
