पर्सियस बैंकिंग मैलवेयर

साइबर सुरक्षा विश्लेषकों ने पर्सियस एंड्रॉइड मैलवेयर नामक एक नए एंड्रॉइड मैलवेयर परिवार की पहचान की है, जिसे डिवाइस हैक (डीटीओ) करने और वित्तीय धोखाधड़ी को अंजाम देने के लिए सक्रिय रूप से तैनात किया गया है। यह खतरा मोबाइल मैलवेयर में एक महत्वपूर्ण विकास का प्रतिनिधित्व करता है, जो स्थापित तकनीकों को उन्नत परिचालन लचीलेपन के साथ जोड़ता है।

सिद्ध मैलवेयर वंशों से विकास

Perseus मैलवेयर Cerberus और Phoenix Android मैलवेयर की नींव पर बना है, जो दोनों ही जाने-माने Android बैंकिंग ट्रोजन हैं। Cerberus को पहली बार अगस्त 2019 में दस्तावेज़ित किया गया था। इसने Android की एक्सेसिबिलिटी सेवाओं का दुरुपयोग करके विशेषाधिकारों को बढ़ाया, संवेदनशील डेटा एकत्र किया और क्रेडेंशियल चोरी के लिए ओवरले हमले किए। 2020 में इसके सोर्स कोड के लीक होने के बाद, Alien, ERMAC और Phoenix सहित कई व्युत्पन्न सामने आए।

पर्सियस, फीनिक्स कोडबेस का विस्तार है, जो इसे अधिक अनुकूलनीय और सक्षम प्लेटफॉर्म में विकसित करता है। व्यापक इन-ऐप लॉगिंग और असामान्य कोड आर्टिफैक्ट जैसे संकेत बताते हैं कि विकास के दौरान हमलावरों ने लार्ज लैंग्वेज मॉडल (एलएलएम) की सहायता ली होगी।

संक्रमण का वाहक: आईपीटीवी अनुप्रयोगों के माध्यम से सोशल इंजीनियरिंग

वितरण रणनीति काफी हद तक सोशल इंजीनियरिंग पर निर्भर करती है। पर्सियस को फ़िशिंग वेबसाइटों पर होस्ट किए गए ड्रॉपर एप्लिकेशन के माध्यम से पहुंचाया जाता है, जो अक्सर आईपीटीवी सेवाओं के रूप में छिपे होते हैं। यह तरीका मैसिव एंड्रॉइड मैलवेयर से जुड़े अभियानों के समान है, जो प्रीमियम स्ट्रीमिंग सामग्री तक अनधिकृत पहुंच चाहने वाले उपयोगकर्ताओं को निशाना बनाते हैं।

हमलावर वैध दिखने वाले आईपीटीवी ऐप्स में दुर्भावनापूर्ण पेलोड डालकर उपयोगकर्ताओं के संदेह को कम करते हैं और संक्रमण की सफलता दर को काफी हद तक बढ़ाते हैं। इस अभियान ने मुख्य रूप से तुर्की, इटली, पोलैंड, जर्मनी, फ्रांस, संयुक्त अरब अमीरात और पुर्तगाल सहित कई क्षेत्रों के उपयोगकर्ताओं को निशाना बनाया है।

मैलवेयर परिनियोजन श्रृंखला और ज्ञात कलाकृतियाँ

पर्सियस वितरण पारिस्थितिकी तंत्र के हिस्से के रूप में कई अनुप्रयोगों की पहचान की गई है:

• रोजा ऐप डायरेक्टा (com.xcvuc.ocnsxn) - ड्रॉपर एप्लिकेशन
• TvTApp (com.tvtapps.live) – प्राथमिक पर्सियस पेलोड
• पोलबॉक्स टीवी (com.streamview.players) – द्वितीयक पेलोड वेरिएंट

ये एप्लिकेशन असुरक्षित उपकरणों पर मैलवेयर स्थापित करने के लिए प्रवेश बिंदु के रूप में कार्य करते हैं।

उन्नत उपकरण अधिग्रहण क्षमताएँ

पर्सियस एंड्रॉइड एक्सेसिबिलिटी सेवाओं का उपयोग करके रिमोट सेशन स्थापित करता है, जिससे संक्रमित उपकरणों की रीयल-टाइम निगरानी और सटीक इंटरैक्शन संभव हो पाता है। यह कार्यक्षमता डिवाइस पर पूर्ण नियंत्रण प्रदान करती है, जिससे हमलावरों को उपयोगकर्ता गतिविधि पर व्यापक नियंत्रण मिल जाता है।

परंपरागत बैंकिंग ट्रोजन के विपरीत, पर्सियस क्रेडेंशियल चुराने से कहीं आगे बढ़कर नोट लेने वाले एप्लिकेशन की सक्रिय रूप से निगरानी करता है। यह व्यवहार उच्च-मूल्यवान व्यक्तिगत और वित्तीय जानकारी निकालने पर जानबूझकर ध्यान केंद्रित करने का संकेत देता है, जो पारंपरिक क्रेडेंशियल फ़ील्ड में संग्रहीत नहीं हो सकती है।

मुख्य आक्रमण तकनीकें: ओवरले और इनपुट अवरोधन

एक बार सक्रिय होने पर, पर्सियस एंड्रॉइड बैंकिंग मैलवेयर की जानी-मानी तकनीकों का उपयोग करता है। यह वैध बैंकिंग और क्रिप्टोकरेंसी एप्लिकेशन पर फर्जी इंटरफेस प्रदर्शित करने के लिए ओवरले हमले करता है, जिससे उपयोगकर्ता के क्रेडेंशियल वास्तविक समय में कैप्चर हो जाते हैं। इसके अलावा, संवेदनशील इनपुट डेटा को दर्ज करते समय उसे इंटरसेप्ट करने के लिए कीस्ट्रोक लॉगिंग का उपयोग किया जाता है।

कमांड-एंड-कंट्रोल ऑपरेशन: रिमोट मैनिपुलेशन फ्रेमवर्क

यह मैलवेयर कमांड-एंड-कंट्रोल (C2) इन्फ्रास्ट्रक्चर के माध्यम से नियंत्रित होता है, जिससे ऑपरेटर कमांड जारी कर सकते हैं, डिवाइस के व्यवहार में हेरफेर कर सकते हैं और धोखाधड़ी वाले लेनदेन को अधिकृत कर सकते हैं। समर्थित प्रमुख कमांड में शामिल हैं:

• डेटा निष्कर्षण और निगरानी (उदाहरण के लिए, Google Keep, Evernote और Microsoft OneNote जैसे ऐप्स से नोट्स कैप्चर करना)
• रीयल-टाइम या संरचित UI इंटरैक्शन के लिए VNC और HVNC के माध्यम से रिमोट सेशन प्रबंधन
• अभिगम्यता सेवाओं का उपयोग करके स्क्रीनशॉट कैप्चर करना
• एप्लिकेशन नियंत्रण, जिसमें ऐप्स लॉन्च करना या प्रतिबंध हटाना शामिल है।
• ब्लैक स्क्रीन ओवरले और ऑडियो म्यूटिंग जैसी उपयोगकर्ता को धोखा देने वाली तरकीबें।
• अज्ञात स्रोतों से जबरन इंस्टॉलेशन और नकली उपयोगकर्ता इंटरैक्शन

कमांड का यह व्यापक सेट हमलावरों को प्रभावित उपकरणों पर लगातार और गुप्त नियंत्रण बनाए रखने में सक्षम बनाता है।

बचाव की रणनीति और पर्यावरण जागरूकता

Perseus उन्नत एंटी-एनालिसिस तकनीकों का उपयोग करके पहचान से बचने में सक्षम है। यह व्यापक पर्यावरणीय जाँच करता है, जिसमें डिबगिंग टूल की पहचान करना, सिम कार्ड की उपस्थिति की पुष्टि करना, स्थापित एप्लिकेशन की संख्या का विश्लेषण करना और वास्तविक डिवाइस पर निष्पादन की पुष्टि करने के लिए बैटरी मैट्रिक्स को मान्य करना शामिल है।

यह मालवेयर इस डेटा को 'संदेह स्कोर' में एकत्रित करता है, जिसे C2 सर्वर पर भेजा जाता है। इस स्कोर के आधार पर, ऑपरेटर यह तय करते हैं कि आगे की कार्रवाई करनी है या पकड़े जाने से बचने के लिए निष्क्रिय रहना है।

रणनीतिक निहितार्थ: विकास के माध्यम से दक्षता

पर्सियस एंड्रॉइड मैलवेयर के निरंतर विकास का एक उदाहरण है, जहां नए खतरे शुरू से विकसित होने के बजाय मौजूदा फ्रेमवर्क पर आधारित होते जा रहे हैं। सेर्बेरस और फीनिक्स से विरासत में मिली क्षमताओं को नोट मॉनिटरिंग और बेहतर रिमोट कंट्रोल जैसे लक्षित सुधारों के साथ मिलाकर, पर्सियस दक्षता और नवीनता के बीच संतुलन स्थापित करता है।

यह दृष्टिकोण साइबर अपराध में एक व्यापक प्रवृत्ति को दर्शाता है: अनुकूलनशीलता, विस्तारशीलता और उच्च-मूल्य वाले डेटा निष्कर्षण को प्राथमिकता देना, जिससे आधुनिक मैलवेयर अभियान अधिक प्रभावी और पता लगाना कठिन हो जाते हैं।