'सिस्टम अपडेट' Android मैलवेयर

एंड्रॉइड उपयोगकर्ता एक नए परिष्कृत एंड्रॉइड मैलवेयर के खतरे में हैं जो कि 'सिस्टम अपडेट' एप्लिकेशन के रूप में हैं। इस खतरे की खोज इन्फोसिक शोधकर्ताओं ने हाल ही में की थी। उनके निष्कर्षों के अनुसार, 'सिस्टम अपडेट' मैलवेयर कुछ दुर्लभ रूप से देखी जाने वाली सुविधाओं, अच्छी तरह से स्थापित कमांड-एंड-कंट्रोल (C2, C & C) बुनियादी सुविधाओं के साथ आने वाले और बाहर जाने वाले संचार के लिए विभिन्न सर्वरों के साथ-साथ, साथ ही साथ कार्यात्मक कार्यक्षमता की एक विस्तृत श्रृंखला को प्रदर्शित करता है। पता लगाने-बचने की तकनीक।

यदि यह उपयोगकर्ता के डिवाइस में घुसपैठ करने में सक्षम है, तो 'सिस्टम अपडेट' मैलवेयर एक RAT (रिमोट एक्सेस ट्रोजन) के रूप में प्रभावी रूप से कार्य करता है जो डेटा एकत्र और बहिष्कृत कर सकता है, इनबाउंड कमांड निष्पादित कर सकता है, और संक्रमित डिवाइस के कुछ कार्यों पर नियंत्रण कर सकता है। यह ध्यान दिया जाना चाहिए कि यह खतरा आधिकारिक Google Play स्टोर को भंग करने में सक्षम नहीं है और इसके बजाय तृतीय-पक्ष एप्लिकेशन प्लेटफ़ॉर्म के माध्यम से फैला हुआ है।

परिष्कृत कार्यों का एक विस्तृत सेट

'सिस्टम अपडेट' मैलवेयर खतरनाक क्षमताओं की एक भीड़ को प्रदर्शित करता है जो हमलावरों को समझौता किए गए एंड्रॉइड डिवाइस पर विभिन्न नापाक कार्रवाई करने की अनुमति देता है। एक बार स्थापित होने के बाद, खतरा फायरबेस सी एंड सी सर्वर के साथ संचार शुरू करता है। प्रारंभिक विनिमय के दौरान, संक्रमित डिवाइस के बारे में विभिन्न डेटा शामिल हैं - जिसमें व्हाट्सएप सिस्टम, बैटरी चार्ज, भंडारण आँकड़े और इंटरनेट कनेक्शन प्रकार पर मौजूद है। डिवाइस को C & C के साथ पंजीकृत करने के लिए फायरबेस मैसेजिंग सर्विस से प्राप्त टोकन के साथ सूचना का उपयोग किया जाता है। मैलवेयर का खतरा केवल आने वाली कमांड प्राप्त करने के लिए Firebase C & C का उपयोग करता है, जबकि सभी बाहरी डेटा POST अनुरोधों के माध्यम से एक अलग C & C सर्वर तक पहुंचाए जाते हैं।

खतरे के द्वारा प्राप्त विशिष्ट आदेश, विभिन्न कार्यात्मकताओं को ट्रिगर करते हैं। 'सिस्टम अपडेट' मैलवेयर माइक्रोफोन तक पहुंच सकता है और ऑडियो या रिकॉर्ड फोन कॉल वार्तालापों को रिकॉर्ड करना शुरू कर सकता है। एकत्र किए गए डेटा को C & C सर्वर पर अपलोड किए जाने से पहले एक ज़िप संग्रह फ़ाइल के रूप में सहेजा जाएगा। खतरा उपयोगकर्ता को एक्सेसिबिलिटी सर्विसेज को बार-बार सक्षम करने के अनुरोधों के साथ परेशान करता है, और यदि सफल होता है, तो यह व्हाट्सएप की स्क्रीन से बातचीत और संदेश के विवरण को परिमार्जन करने की कोशिश करेगा।

स्पाईवेयर कई श्रोताओं को स्थापित करता है, देखता है, और प्रसारित इरादों को बढ़ाता है जो विशिष्ट धमकी भरे कार्यों को ट्रिगर करता है जैसे कि क्लिपबोर्ड डेटा इकट्ठा करना, एसएमएस पर जासूसी करना, संपर्क, कॉल लॉग, सूचनाएं, जीपीएस स्थान, आदि। समझौता किए गए डिवाइस पर संग्रहीत फ़ाइलों को स्कैन किया जाएगा और कोई भी इसका आकार 30MB से कम है और इसे मूल्यवान माना जाता है जैसे .pdf, .docx, .doc, .xls, .xls, .pptx, और .ppt एक्सटेंशन को कॉपी किया जाएगा और फिर C & C सर्वर पर एक्सफ़िल्ट किया जाएगा। आगे के निजी उपयोगकर्ता डेटा जैसे बुकमार्क और खोज इतिहास भी लोकप्रिय वेब ब्राउज़र जैसे सैमसंग इंटरनेट ब्राउज़र, Google क्रोम और मोज़ेक फ़ायरफ़ॉक्स से स्क्रैप किए जाएंगे।

स्पाइवेयर डेटा के बारे में बेहद सचेत है जो इसे एकत्र करता है जितना संभव हो उतना चालू है। यह जीपीएस या नेटवर्क से स्थान डेटा को छीनता है और इसे हर 5 मिनट में अपडेट करता है। डिवाइस के कैमरे के साथ ली गई किसी भी तस्वीर के लिए भी इसी तकनीक का उपयोग किया जाता है, जिसमें केवल अंतराल को 40 मिनट तक बढ़ाया जाता है।

एकाधिक तकनीकों असामान्य गतिविधियों को छिपाएँ

इसकी व्यापक आरएटी और स्पायवेयर क्षमताओं के अलावा, 'सिस्टम अपडेट' मैलवेयर भी कई तकनीकों के साथ सुसज्जित किया गया है ताकि इसे किसी भी चुभती आँखों से छिपाया जा सके। अधिक मूल लोगों में संक्रमित डिवाइस के दराज टैब या मेनू में ठीक से दिखाने से धमकी देने वाले एप्लिकेशन के आइकन को अवरुद्ध करना शामिल है। एकत्रित जानकारी वाली किसी भी फ़ाइल को दूरस्थ सर्वर से एक सफल प्रतिक्रिया प्राप्त होने पर तुरंत हटा दिया जाता है, जहां डेटा का बहिष्कार किया जा रहा है। बाहरी भंडारण पर संग्रहीत फ़ाइलों को इकट्ठा करते समय जिसमें वीडियो की कई छवियां शामिल होती हैं, स्पाइवेयर इसके बजाय उपयुक्त थंबनेल इकट्ठा करने पर ध्यान केंद्रित करता है। यह विधि विशेष रूप से बड़े पैमाने पर असामान्य बैंडविड्थ निशान बनाने के विकल्प की तुलना में धमकी देने वाली गतिविधि को अपेक्षाकृत ध्यान नहीं देने की अनुमति देती है।

यदि 'सिस्टम अपडेट' मालवेयर को Firebase C & C सर्वर से एक कमांड प्राप्त होता है, जबकि समझौता किए गए डिवाइस की स्क्रीन को बंद कर दिया जाता है, तो यह उपयोगकर्ता को भ्रमित करने के लिए एक नकली सूचना उत्पन्न करता है। अधिसूचना डिवाइस के ऑपरेटिंग सिस्टम द्वारा 'अपडेट के लिए खोज ..' संदेश प्रदर्शित करके उत्पन्न की गई है।