FireScam मोबाइल मालवेयर
FireScam नामको नयाँ पहिचान गरिएको एन्ड्रोइड खतरा पर्दाफास भएको छ। यसले टेलीग्राम मेसेजिङ एपको परिष्कृत संस्करणको रूपमा आफूलाई लुकाउँछ। यो भ्रामक कार्यनीतिले डरलाग्दो सफ्टवेयरलाई प्रयोगकर्ताको संवेदनशील डाटा निकाल्न र सम्झौता गरिएका यन्त्रहरूमा निरन्तर रिमोट पहुँच कायम राख्न सक्षम बनाउँछ।
सामग्रीको तालिका
एक चतुर भेष: नक्कली टेलिग्राम प्रीमियम आवेदन
फायर स्क्याम नक्कली 'टेलीग्राम प्रिमियम' अनुप्रयोगको आडमा वितरण गरिएको छ। यो GitHub.io मा होस्ट गरिएको फिसिङ वेबसाइट मार्फत फैलिन्छ, जसले आफूलाई रुस्टोरको रूपमा झूटो रूपमा प्रस्तुत गर्दछ - रूसको एक प्रसिद्ध एप बजार। सुरक्षा विश्लेषकहरूले यस मोबाइल खतरालाई जटिल र अत्यधिक अनुकूलनीय रूपमा वर्णन गर्छन्। एक पटक स्थापना भएपछि, यसले बहु-चरण संक्रमण प्रक्रियालाई पछ्याउँछ, ड्रपर एपीकेबाट सुरु हुन्छ जसले व्यापक निगरानीलाई सुविधा दिन्छ।
धोखाधडी साइट, rustore-apk.github.io, RuStore को इन्टरफेसको नक्कल गर्दछ र प्रयोगकर्ताहरूलाई 'GetAppsRu.apk' नामक ड्रपर एपीके फाइल डाउनलोड गर्न छलाउन डिजाइन गरिएको हो।
फायर स्क्यामको आक्रमणमा ड्रपरको भूमिका
स्थापना पछि, ड्रपरले प्राथमिक पेलोडको लागि डेलिभरी संयन्त्रको रूपमा कार्य गर्दछ। यो कोर कम्पोनेन्टले फायरबेस रियलटाइम डाटाबेसमा सन्देशहरू, सूचनाहरू, र अनुप्रयोग डेटा जस्ता संवेदनशील जानकारी सङ्कलन र प्रसारण गर्न जिम्मेवार छ।
यसको नियन्त्रणलाई बलियो बनाउन, ड्रपरले धेरै अनुमतिहरू अनुरोध गर्दछ, जसमा बाह्य भण्डारणमा पहुँच र एन्ड्रोइड संस्करण 8 र नयाँ चलिरहेको एन्ड्रोइड उपकरणहरूमा स्थापना, अद्यावधिक वा हटाउने क्षमता समावेश छ।
FireScam को विशेष रूपमा सम्बन्धित पक्ष यसको ENFORCE_UPDATE_OWNERSHIP अनुमतिको शोषण हो। यो एन्ड्रोइड सुविधाले एप्लिकेसनको मूल स्थापनाकर्तालाई यसको 'अपडेट मालिक' बन्न अनुमति दिन्छ, अर्थात् नामित मालिकले मात्र अद्यावधिकहरू प्रारम्भ गर्न सक्छ। यस मेकानिजमको लाभ उठाएर, FireScam ले संक्रमित यन्त्रमा यसको निरन्तर उपस्थिति सुनिश्चित गर्दै अन्य स्रोतहरूबाट वैध अद्यावधिकहरू रोक्न सक्छ।
उन्नत चोरी र निगरानी सुविधाहरू
FireScam ले पत्ता लगाउने र विश्लेषणको प्रतिरोध गर्न अस्पष्टता प्रविधिहरू प्रयोग गर्दछ। यसले सक्रिय रूपमा आगमन सूचनाहरू, स्क्रिन स्थितिमा परिवर्तनहरू, प्रयोगकर्ता गतिविधि, क्लिपबोर्ड सामग्री, र अनलाइन लेनदेनहरू पनि निगरानी गर्दछ। खतराले रिमोट सर्भरबाट छविहरू डाउनलोड गर्न र प्रशोधन गर्न पनि सक्षम छ, यसको निगरानी क्षमताहरूमा अर्को तह थप्दै।
जब लन्च हुन्छ, दुष्ट टेलिग्राम प्रिमियम एपले प्रयोगकर्ताको सम्पर्क, कल लग र एसएमएस सन्देशहरू पहुँच गर्न अनुमति अनुरोध गर्दछ। त्यसपछि यसले लगइन पृष्ठ प्रस्तुत गर्दछ जुन आधिकारिक टेलिग्राम वेबसाइटलाई WebView मार्फत मिरर गर्दछ, प्रयोगकर्ता प्रमाणहरू क्याप्चर गर्ने प्रयास गर्दै। यद्यपि, प्रयोगकर्ताले आफ्नो लगइन विवरणहरू प्रविष्ट नगरे पनि डाटा सङ्कलन प्रक्रिया ट्रिगर हुन्छ।
निरन्तर रिमोट पहुँच कायम गर्दै
FireScam को थप कपटी कार्यहरू मध्ये एक फायरबेस क्लाउड सन्देश (FCM) सूचनाहरूको लागि दर्ता गर्ने क्षमता हो। यसले खतरालाई रिमोट निर्देशनहरू प्राप्त गर्न र उपकरणमा जारी गुप्त पहुँच कायम राख्न अनुमति दिन्छ। थप रूपमा, यसले डाटा चोरी गर्न र थप असुरक्षित कार्यहरू कार्यान्वयन गर्न यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरसँग वेबसकेट जडान स्थापना गर्दछ।
अन्य हानिकारक घटक र अनुत्तरित प्रश्नहरू
अन्वेषकहरूले फिसिङ डोमेनमा होस्ट गरिएको अर्को हानिकारक कलाकृति पनि पहिचान गरे, जसलाई 'CDEK' भनिन्छ। यो नामले सम्भवतः एक रूसी रसद र प्याकेज ट्र्याकिङ सेवालाई सन्दर्भ गर्दछ, जसले FireScam बाहेक फराकिलो दुर्भावनापूर्ण गतिविधिको सुझाव दिन्छ।
यो अस्पष्ट रहन्छ कि यो अपरेसन को पछाडि को छ वा कसरी प्रयोगकर्ताहरु लाई यी फिसिङ लिङ्कहरूमा निर्देशित गरिन्छ। सम्भावित रणनीतिहरूमा SMS फिसिङ (स्मिसिङ) वा खराब अभियानहरू समावेश हुन सक्छन्। RuStore जस्ता वैध सेवाहरूको नक्कल गरेर, यी भ्रामक वेबसाइटहरूले व्यक्तिहरूलाई धोखाधडी अनुप्रयोगहरू डाउनलोड गर्न मनाउन प्रयोगकर्ताको विश्वासलाई हेरफेर गर्छन्।
फायरस्क्यामको डेटा निकाल्ने र निगरानी सञ्चालन गर्ने क्षमताले फिशिङ-संचालित वितरण विधिहरूसँग सम्बन्धित जोखिमहरूलाई अधोरेखित गर्छ। यस केसले एन्ड्रोइड प्रयोगकर्ताहरूलाई सामाजिक इन्जिनियरिङको शोषण गर्ने र प्रख्यात प्लेटफर्महरूमा विश्वास गर्ने खतराहरूबाट जोगाउन जारी चुनौतीहरूलाई हाइलाइट गर्दछ।
