एसएमएस चुराने वाला मोबाइल मैलवेयर

एंड्रॉइड डिवाइस पर लक्षित एक वैश्विक साइबर हमले में एसएमएस चुराने वाले मैलवेयर फैलाने और 600 से अधिक सेवाओं के लिए वन-टाइम 2FA पासवर्ड (OTP) कैप्चर करने के लिए हजारों टेलीग्राम बॉट का इस्तेमाल किया गया है। शोधकर्ता फरवरी 2022 से इस ऑपरेशन की निगरानी कर रहे हैं और उन्होंने अभियान से जुड़े कम से कम 107,000 अद्वितीय मैलवेयर नमूनों की पहचान की है। हमलावर वित्तीय प्रोत्साहनों से प्रेरित प्रतीत होते हैं, संभवतः प्रमाणीकरण की सुविधा और गुमनामी को बढ़ाने के लिए समझौता किए गए उपकरणों का उपयोग करते हैं।

हजारों टेलीग्राम बॉट्स ने एसएमएस चुराने वाला मैलवेयर फैलाया

एसएमएस चुराने वाला मैलवेयर दो मुख्य तरीकों से फैलता है: मैलवेयर विज्ञापन और टेलीग्राम बॉट जो पीड़ितों के साथ संचार को स्वचालित करते हैं।

पहली विधि में, पीड़ितों को नकली गूगल प्ले पेजों पर निर्देशित किया जाता है, जो वैध दिखने और पीड़ित का विश्वास जीतने के लिए डाउनलोड संख्या को बढ़ा-चढ़ाकर प्रदर्शित करते हैं।

टेलीग्राम पर, बॉट पायरेटेड एंड्रॉइड एप्लिकेशन ऑफ़र करते हैं और एपीके फ़ाइल प्रदान करने से पहले पीड़ित का फ़ोन नंबर मांगते हैं। इस नंबर का उपयोग बॉट द्वारा एक कस्टमाइज्ड एपीके बनाने के लिए किया जाता है, जिससे व्यक्तिगत ट्रैकिंग या भविष्य के हमलों को सक्षम किया जा सके।

यह ऑपरेशन विभिन्न एंड्रॉइड एपीके वितरित करने के लिए लगभग 2,600 टेलीग्राम बॉट्स पर निर्भर करता है, जो सभी 13 कमांड-एंड-कंट्रोल (सी2) सर्वर द्वारा प्रबंधित होते हैं। प्रभावित व्यक्तियों में से अधिकांश भारत और रूस में हैं, हालांकि ब्राजील, मैक्सिको और संयुक्त राज्य अमेरिका में भी काफी संख्या में लोग प्रभावित हुए हैं।

ख़तरा पैदा करने वाले लोग पीड़ितों से कैसे धन जुटाते हैं

मैलवेयर इंटरसेप्ट किए गए एसएमएस संदेशों को वेबसाइट 'fastsms.su' पर API एंडपॉइंट पर भेजता है। यह साइट विभिन्न देशों के 'वर्चुअल' फ़ोन नंबर प्रदान करती है, जिन्हें उपयोगकर्ता गुमनामी के लिए खरीद सकते हैं और ऑनलाइन प्लेटफ़ॉर्म पर प्रमाणित कर सकते हैं। यह अत्यधिक संभावना है कि पीड़ितों की जानकारी के बिना इस सेवा द्वारा समझौता किए गए डिवाइस का उपयोग किया जा रहा है। मैलवेयर खाता पंजीकरण और दो-कारक प्रमाणीकरण के लिए आवश्यक OTP को कैप्चर करने के लिए Android डिवाइस पर दिए गए SMS एक्सेस अनुमतियों का लाभ उठाता है।

पीड़ितों के लिए, इसका परिणाम उनके मोबाइल खातों पर अनधिकृत शुल्क और उनके डिवाइस और फ़ोन नंबर से जुड़ी अवैध गतिविधियों में संभावित संलिप्तता हो सकता है। फ़ोन नंबर के दुरुपयोग से बचने के लिए, Google Play के बाहर के स्रोतों से APK फ़ाइलें डाउनलोड करने से बचें, असंबंधित फ़ंक्शन वाले ऐप्स को अनावश्यक अनुमतियाँ देने से बचें और सुनिश्चित करें कि आपके डिवाइस पर Play Protect सक्षम है।

एसएमएस चोर ऑपरेशन का हमला प्रवाह

पीड़ित को भ्रामक विज्ञापनों के माध्यम से धोखाधड़ी वाले एप्लिकेशन इंस्टॉल करने के लिए लुभाया जाता है, जो वैध ऐप स्टोर की नकल करते हैं या स्वचालित टेलीग्राम बॉट्स के माध्यम से जो सीधे लक्ष्य के साथ बातचीत करते हैं (नीचे विवरण)।

अनुमति अनुरोध – पहुँच प्राप्त करना

एक बार इंस्टॉल हो जाने के बाद, धोखाधड़ी करने वाला एप्लिकेशन एसएमएस पढ़ने की अनुमति मांगता है, जो एंड्रॉइड पर एक उच्च जोखिम वाली सुविधा है जो संवेदनशील व्यक्तिगत डेटा तक पहुंच की अनुमति देती है। जबकि वैध ऐप्स को विशिष्ट कार्यों के लिए एसएमएस अनुमतियों की आवश्यकता हो सकती है, इस ऐप का अनुरोध पीड़ित के निजी टेक्स्ट संदेशों को इकट्ठा करने के लिए डिज़ाइन किया गया है।

कमांड और कंट्रोल सर्वर पुनर्प्राप्ति – मास्टर से संपर्क करना

इसके बाद यह खतरा इसके कमांड और कंट्रोल (C&C) सर्वर से जुड़ जाता है, जो इसके संचालन को निर्देशित करता है और एकत्रित डेटा को इकट्ठा करता है। शुरुआत में, मैलवेयर ने C&C सर्वर का पता प्राप्त करने के लिए फ़ायरबेस का इस्तेमाल किया, लेकिन बाद में यह Github रिपॉजिटरी का उपयोग करने या सीधे ऐप के भीतर पता एम्बेड करने के लिए विकसित हुआ है।

सी एंड सी संचार – रिपोर्टिंग और डेटा अपलोड करना

C&C सर्वर एड्रेस को सुरक्षित करने के बाद, संक्रमित डिवाइस उससे कनेक्शन स्थापित करता है। यह दो उद्देश्यों को पूरा करता है: 1) मैलवेयर सर्वर को अपनी सक्रिय स्थिति के बारे में सूचित करता है, और 2) यह मूल्यवान OTP कोड सहित चोरी किए गए SMS संदेश भेजने के लिए एक चैनल बनाता है।

ओटीपी हार्वेस्टिंग - गुप्त कलेक्टर

अंतिम चरण में, मैलवेयर चुपचाप आने वाले एसएमएस संदेशों पर नज़र रखता है, तथा ऑनलाइन खाता सत्यापन के लिए उपयोग किए जाने वाले ओटीपी को रोकने पर ध्यान केंद्रित करता है, जबकि इसका पता नहीं चलता।