सेफचैट मोबाइल मैलवेयर
यह पता चला है कि हैकर्स डिवाइसों को स्पाइवेयर मैलवेयर से संक्रमित करने के लिए 'सेफचैट' नामक एक भ्रामक एंड्रॉइड एप्लिकेशन का उपयोग कर रहे हैं। इस दुर्भावनापूर्ण सॉफ़्टवेयर का उद्देश्य फ़ोन से कॉल लॉग, टेक्स्ट संदेश और जीपीएस स्थानों सहित संवेदनशील जानकारी चुराना है।
संदेह है कि एंड्रॉइड स्पाइवेयर कुख्यात 'कवरल्म' मैलवेयर का एक प्रकार है, जो विभिन्न संचार ऐप्स से डेटा चोरी करने की क्षमताओं के लिए जाना जाता है। लक्षित एप्लिकेशन में टेलीग्राम, सिग्नल, व्हाट्सएप, वाइबर और फेसबुक मैसेंजर जैसे लोकप्रिय प्लेटफॉर्म शामिल हैं।
इस अभियान के पीछे 'बहामुत ' नाम से मशहूर भारतीय एपीटी हैकिंग ग्रुप का हाथ माना जा रहा है। उनकी पहचान हाल के हमलों के लिए जिम्मेदार अपराधियों के रूप में की गई है, जो मुख्य रूप से व्हाट्सएप के माध्यम से वितरित स्पीयर फ़िशिंग संदेशों का उपयोग करते हैं। इन संदेशों में धमकी भरे पेलोड होते हैं, जो सीधे पीड़ितों के डिवाइस पर पहुंचाए जाते हैं। इस बहमुत अभियान का प्राथमिक लक्ष्य दक्षिण एशिया में स्थित उपयोगकर्ता हैं।
सेफचैट मैलवेयर एक वैध मैसेजिंग एप्लिकेशन के रूप में सामने आता है
हमलावरों द्वारा इस्तेमाल की जाने वाली एक आम रणनीति पीड़ितों को एक चैट एप्लिकेशन इंस्टॉल करने के लिए प्रेरित करना है, यह दावा करते हुए कि यह उन्हें अधिक सुरक्षित संचार मंच प्रदान करेगा। इन्फोसेक विशेषज्ञों के अनुसार, सेफ चैट के रूप में प्रच्छन्न स्पाइवेयर एक भ्रामक उपयोगकर्ता इंटरफ़ेस का उपयोग करता है जो एक वास्तविक चैट ऐप की नकल करता है। इसके अलावा, यह पीड़ित को एक वैध उपयोगकर्ता पंजीकरण प्रक्रिया के माध्यम से मार्गदर्शन करता है, विश्वसनीयता जोड़ता है और स्पाइवेयर की दुर्भावनापूर्ण गतिविधियों के लिए एक आदर्श कवर के रूप में कार्य करता है।
संक्रमण प्रक्रिया में एक महत्वपूर्ण कदम में महत्वपूर्ण अनुमतियाँ प्राप्त करना शामिल है, जैसे एक्सेसिबिलिटी सेवाओं का उपयोग करने की क्षमता। फिर स्पाइवेयर को संवेदनशील डेटा तक स्वचालित रूप से पहुंच प्रदान करने के लिए इन अनुमतियों का दुरुपयोग किया जाता है। अधिक विशेष रूप से, स्पाइवेयर पीड़ित की संपर्क सूची, एसएमएस संदेश, कॉल लॉग, बाहरी डिवाइस स्टोरेज तक पहुंच प्राप्त करता है और समझौता किए गए डिवाइस से सटीक जीपीएस स्थान डेटा पुनर्प्राप्त कर सकता है।
इसके अतिरिक्त, एंड्रॉइड मेनिफेस्ट फ़ाइल के स्निपेट्स से पता चलता है कि स्पाइवेयर के पीछे के खतरे वाले अभिनेता ने इसे पहले से इंस्टॉल किए गए अन्य चैट एप्लिकेशन के साथ इंटरैक्ट करने के लिए डिज़ाइन किया था। इंटरेक्शन इरादों के उपयोग के माध्यम से होता है, और OPEN_DOCUMENT_TREE अनुमति स्पाइवेयर को विशिष्ट निर्देशिकाओं का चयन करने और इरादे में उल्लिखित ऐप्स तक पहुंचने की अनुमति देती है।
संक्रमित डिवाइस से एकत्र किए गए डेटा को बाहर निकालने के लिए, स्पाइवेयर एक समर्पित डेटा एक्सफ़िल्टरेशन मॉड्यूल का उपयोग करता है। फिर जानकारी को पोर्ट 2053 के माध्यम से हमलावर के कमांड-एंड-कंट्रोल (सी2) सर्वर पर स्थानांतरित कर दिया जाता है। ट्रांसमिशन के दौरान बाहर निकाली गई जानकारी की गोपनीयता सुनिश्चित करने के लिए, स्पाइवेयर एक अन्य मॉड्यूल द्वारा समर्थित एन्क्रिप्शन का उपयोग करता है जो आरएसए, ईसीबी और ओएईपीएडिंग का समर्थन करता है। इसके अलावा, हमलावर अपने खिलाफ किए गए नेटवर्क डेटा के किसी भी अवरोधन प्रयास से बचने के लिए "लेट्स एन्क्रिप्ट" प्रमाणपत्र का उपयोग करते हैं।
अन्य साइबर अपराध समूहों से संबंध
सेफचैट हमले अभियान में, कई युक्तियों, तकनीकों और प्रक्रियाओं (टीटीपी) की पहचान की गई है, जो 'डूनॉट एपीटी' (एपीटी-सी-35) के नाम से जाने जाने वाले एक अन्य भारतीय राज्य-प्रायोजित खतरा समूह से काफी मिलती-जुलती हैं। विशेष रूप से, 'DoNot APT' पहले फर्जी चैट ऐप्स के साथ Google Play में घुसपैठ करने में शामिल रहा है जो स्पाइवेयर के रूप में कार्य करते हैं। दो हैकर समूहों के बीच समानताओं में समान प्रमाणपत्र प्राधिकारी का उपयोग, समान डेटा-चोरी पद्धतियां, एक साझा लक्ष्यीकरण दायरा और अपने इच्छित लक्ष्यों को संक्रमित करने के लिए एंड्रॉइड ऐप्स का उपयोग शामिल है।
ये देखी गई समानताएं दृढ़ता से दो खतरे वाले समूहों के बीच संभावित ओवरलैप या करीबी सहयोग का सुझाव देती हैं। इसके अतिरिक्त, डेटा-चोरी तकनीकों में समानता और साझा लक्ष्यीकरण फोकस उनके हमलों में एक सामान्य लक्ष्य या उद्देश्य का संकेत दे सकता है।
यह तथ्य कि दोनों समूहों ने एंड्रॉइड ऐप्स को घुसपैठ के साधन के रूप में नियोजित किया है, संभावित सहयोग या ज्ञान साझा करने की धारणा को और मजबूत करता है। सहयोग के इन संकेतों को गंभीरता से लेना महत्वपूर्ण है क्योंकि ये इन राज्य-प्रायोजित समूहों द्वारा शुरू किए गए हमलों की परिष्कार और जटिलता में संभावित वृद्धि का संकेत देते हैं।
