SmsSpy मैलवेयर
रोमिंग मेंटिस हैकर समूह द्वारा किया गया धूम्रपान अभियान अभी भी विकसित हो रहा है। ऑपरेशन के प्राथमिक लक्ष्य एशियाई देशों के उपयोगकर्ता रहे हैं, लेकिन अब हैकर्स ने SmsSpy नाम से एक नया मैलवेयर तैनात किया है जो विशेष रूप से जापानी उपयोगकर्ताओं को संक्रमित करने के लिए डिज़ाइन किया गया है। मालवेयर स्ट्रेन का मुख्य लक्ष्य समझौता किए गए एंड्रॉइड डिवाइसों से फोन नंबर और एसएमएस संदेश एकत्र करना है। यह खतरा दो अलग-अलग संस्करणों को तैनात करने में सक्षम है, जो उपयोगकर्ता के एंड्रॉइड ओएस संस्करण पर निर्भर करता है, जिससे संभावित पीड़ितों में पर्याप्त वृद्धि होती है।
प्रारंभिक समझौता वेक्टर
हमला फ़िशिंग एसएमएस संदेशों के साथ शुरू होता है जो उपयोगकर्ताओं को एक भ्रष्ट वेबपेज पर ले जाते हैं। नकली संदेश का सटीक पाठ भिन्न हो सकता है क्योंकि साइबर अपराधी एक लॉजिस्टिक्स कंपनी होने का दिखावा कर सकते हैं, जिसे उपयोगकर्ता से किसी सेवा की पुष्टि की आवश्यकता होती है। एक अन्य परिदृश्य में, उपयोगकर्ताओं को उनके बिटकॉइन खाते के साथ समस्याओं के बारे में चेतावनी दी जा रही है, और उनकी लॉगिन जानकारी को सत्यापित करने के लिए दिए गए लिंक का पालन करने का निर्देश दिया गया है।
फ़िशिंग पृष्ठ फिर हमले के निम्नलिखित चरणों को निर्धारित करने के लिए उपयोगकर्ता के डिवाइस के एंड्रॉइड संस्करण की जांच करेगा। Android OS 10 या उसके बाद चलने वाले उपकरणों पर, मैलवेयर के खतरे को नकली Google Play एप्लिकेशन के रूप में तैनात किया जाएगा। एंड्रॉइड 9 या उससे पहले के उपकरणों के लिए, इसके बजाय एक नकली क्रोम एप्लिकेशन डाउनलोड किया जाएगा।
SmsSpy की धमकी कार्यशीलता
एक बार स्थापित होने के बाद, हानिकारक एप्लिकेशन पीड़ित के संपर्कों और एसएमएस संदेशों तक पहुंचने के लिए डिवाइस के लिए डिफ़ॉल्ट संदेश अनुप्रयोग के रूप में सेट होने का अनुरोध करेगा। उपयोगकर्ता को प्रदर्शित अधिसूचना स्क्रीन उस एप्लिकेशन के संस्करण से मेल खाती है जिसे डाउनलोड किया गया है। Google Play वैरिएंट एक सुरक्षा सेवा के रूप में प्रस्तुत किया गया है जो निश्चित रूप से वायरस, स्पाईवेयर, एंटी-फ़िशिंग और स्पैम मेल सुरक्षा प्रदान करेगा। फर्जी क्रोम एप्लिकेशन के रूप में, यह उपयोगकर्ताओं को चेतावनी देता है कि इसके अनुमतियों को स्वीकार नहीं करने पर आवेदन उनके कार्यों को शुरू करने या सीमित करने में सक्षम नहीं हो सकता है।
बाद में, SmsSpy अपने आइकन को छिपाएगा और WebSocket संचार के माध्यम से अपने कमांड-एंड-कंट्रोल सर्वर के साथ संचार स्थापित करने का प्रयास करेगा। डिफ़ॉल्ट पते को मालवेयर कोड में एम्बेड किया गया है, लेकिन इसमें लिंक जानकारी भी है जो सक्रिय हो जाती है जब भी C2 सर्वर स्थान को अपडेट करने की आवश्यकता होती है। सी 2 सर्वर आमतौर पर एक ब्लॉग सेवा के उपयोगकर्ता प्रोफ़ाइल पृष्ठ में छिपे होते हैं, लेकिन कुछ नमूने भी इसी उद्देश्य के लिए एक चीनी ऑनलाइन दस्तावेज़ सेवा का उपयोग करने के लिए देखे गए हैं।
शुरुआती हैंडशेक के दौरान, SmsSpy मैलवेयर संक्रमित डिवाइस के बारे में सिस्टम विवरण भेजता है, जिसमें एंड्रॉइड ओएस संस्करण, फोन नंबर, डिवाइस मॉडल, एक अद्वितीय डिवाइस आईडी और इंटरनेट कनेक्शन प्रकार शामिल है। यह खतरा तब एक श्रवण मोड में प्रवेश करेगा, जहां यह आने वाली कमांडों की प्रतीक्षा करते हुए निष्क्रिय रहता है। हमलावर संपूर्ण संपर्क पुस्तक और एसएमएस संदेशों को घुसपैठ कर सकते हैं, एसएमएस संदेश भेज सकते हैं और हटा सकते हैं।
