Klopatra Banking Trojan
पहिले अज्ञात एन्ड्रोइड बैंकिङ ट्रोजन, क्लोपाट्राले ३,००० भन्दा बढी उपकरणहरू ह्याक गरिसकेको छ, जसमध्ये स्पेन र इटाली सबैभन्दा बढी प्रभावित भएका छन्। इन्फोसेक अनुसन्धानकर्ताहरूद्वारा अगस्ट २०२५ को अन्त्यमा पत्ता लगाइएको, यो परिष्कृत मालवेयरले रिमोट एक्सेस ट्रोजन (RAT) क्षमताहरूलाई उन्नत चोरी प्रविधिहरूसँग मिसाउँछ, वित्तीय जानकारीलाई लक्षित गर्दछ र धोखाधडीपूर्ण लेनदेनहरूलाई सक्षम बनाउँछ।
सामग्रीको तालिका
परिष्कृत आक्रमण प्रविधि र रिमोट कन्ट्रोल
क्लोपात्राले संक्रमित उपकरणहरूको रिमोट कन्ट्रोल प्राप्त गर्न हिडन भर्चुअल नेटवर्क कम्प्युटिङ (VNC) को प्रयोग गर्छ। यसले प्रमाणहरू चोर्न र अनधिकृत लेनदेनहरू कार्यान्वयन गर्न गतिशील ओभरलेहरू प्रयोग गर्दछ। परम्परागत मोबाइल मालवेयरको विपरीत, क्लोपात्राले नेटिभ लाइब्रेरीहरू र व्यावसायिक-ग्रेड भर्बक्स कोड सुरक्षा सुइटलाई एकीकृत गर्दछ, जसले गर्दा पत्ता लगाउन र विश्लेषण गर्न अत्यन्तै गाह्रो हुन्छ।
मालवेयरको कमाण्ड-एन्ड-कन्ट्रोल (C2) पूर्वाधार र भाषिक संकेतहरूको विश्लेषणले टर्कीभाषी आपराधिक समूहले क्लोपाट्रालाई सार्वजनिक मालवेयर-एज-ए-सर्भिस (MaaS) को रूपमा प्रस्ताव गर्नुको सट्टा निजी बोटनेटको रूपमा सञ्चालन गर्ने संकेत गर्छ। मार्च २०२५ देखि, ट्रोजनका ४० वटा फरक निर्माणहरू पहिचान गरिएका छन्।
पीडितहरूलाई कसरी लोभ्याइन्छ
क्लोपाट्रा सामाजिक इन्जिनियरिङ रणनीतिहरू मार्फत फैलिन्छ, प्रयोगकर्ताहरूलाई IPTV स्ट्रिमिङ अनुप्रयोगहरू जस्ता हानिरहित उपकरणहरूको रूपमा प्रस्तुत गर्ने ड्रपर अनुप्रयोगहरू स्थापना गर्न झुक्याउँछ। यी अनुप्रयोगहरूले अविश्वसनीय स्रोतहरूबाट पाइरेटेड सफ्टवेयर स्थापना गर्ने प्रयोगकर्ताहरूको इच्छाको शोषण गर्छन्।
एकपटक स्थापना भएपछि, ड्रपरले अज्ञात स्रोतहरूबाट प्याकेजहरू स्थापना गर्न अनुमतिहरू अनुरोध गर्दछ। त्यसपछि यसले एम्बेडेड JSON प्याकरबाट मुख्य Klopatra पेलोड निकाल्छ। मालवेयरले एन्ड्रोइड पहुँच सेवाहरू पनि अनुरोध गर्दछ, जुन अपाङ्गता भएका प्रयोगकर्ताहरूलाई सहयोग गर्न डिजाइन गरिएको भए तापनि, निम्न कार्यहरूमा दुरुपयोग गर्न सकिन्छ:
- स्क्रिन सामग्रीहरू पढ्नुहोस्
- किस्ट्रोकहरू रेकर्ड गर्नुहोस्
- कार्यहरू स्वायत्त रूपमा कार्यान्वयन गर्नुहोस्
यसले आक्रमणकारीहरूलाई पीडितको जानकारी बिना नै आर्थिक ठगी गर्न अनुमति दिन्छ।
लुकाइ र लचिलोपनको लागि उन्नत वास्तुकला
क्लोपात्रा यसको उन्नत, लचिलो डिजाइनको कारणले फरक देखिन्छ:
- भाइरबक्स एकीकरणले मालवेयरलाई विश्लेषणबाट जोगाउँछ।
- बढ्दो चोरीको लागि मुख्य प्रकार्यहरू जाभाबाट नेटिभ पुस्तकालयहरूमा सारियो।
- व्यापक कोड अस्पष्टता, एन्टी-डिबगिङ, र रनटाइम अखण्डता जाँचहरूले पत्ता लगाउन बाधा पुर्याउँछन्।
- अपरेटरहरूले VNC मार्फत वास्तविक-समय, दानादार नियन्त्रण प्राप्त गर्छन्, जसमा निम्न क्षमताहरू समावेश छन्:
- दुर्भावनापूर्ण गतिविधि लुकाउन कालो स्क्रिन ओभरले सेवा गर्नुहोस्।
- बैंकिङ कारोबार गोप्य रूपमा गर्नुहोस्।
- लक्षित वित्तीय र क्रिप्टोकरेन्सी एपहरूमा गतिशील रूपमा नक्कली लगइन स्क्रिनहरू डेलिभर गर्नुहोस्।
मालवेयरले पूर्व-स्थापित एन्टिभाइरस सफ्टवेयरलाई पनि असक्षम पार्छ र समाप्ति रोक्न पहुँच सेवाहरू प्रयोग गरेर यसको अनुमतिहरू बढाउन सक्छ।
ठगी कार्यान्वयन र रणनीतिक समय
क्लोपात्राका सञ्चालकहरूले सावधानीपूर्वक व्यवस्थित आक्रमण अनुक्रम पालना गर्छन्:
- उपकरण चार्ज भइरहेको छ कि छैन, स्क्रिन बन्द छ कि छैन र उपकरण निष्क्रिय छ कि छैन जाँच गर्नुहोस्।
- स्क्रिनको चमक शून्यमा घटाउनुहोस् र कालो ओभरले प्रदर्शन गर्नुहोस्।
- बैंकिङ एपहरू पहुँच गर्न चोरी भएका PIN वा ढाँचाहरू प्रयोग गर्नुहोस्।
- पत्ता नलागेको धेरै तत्काल बैंक स्थानान्तरणहरू कार्यान्वयन गर्नुहोस्।
यो रात्रिकालीन रणनीतिले उपकरणहरूलाई सक्रिय र ध्यान नदिई रहन सुनिश्चित गर्दछ, जसले गर्दा आक्रमणकारीहरूलाई पीडितहरू सुतिरहेको बेला सञ्चालन गर्नको लागि एक आदर्श झ्याल प्रदान गर्दछ।
वित्तीय क्षेत्रको लागि प्रभावहरू
क्लोपात्राले मोबाइल मालवेयरलाई पुन: आविष्कार नगरे पनि, यसले खतराको परिष्कारमा उल्लेखनीय वृद्धिको प्रतिनिधित्व गर्दछ। व्यावसायिक-ग्रेड सुरक्षा र चोरी रणनीतिहरू अपनाएर, अपरेटरहरूले नाफा र आफ्नो सञ्चालनको आयु दुवैलाई अधिकतम बनाउँछन्।
गुगलले गुगल प्लेमा कुनै पनि संक्रमित एपहरू फेला नपरेको पुष्टि गरेको छ, तर तेस्रो-पक्ष र पाइरेटेड एप वितरण च्यानलहरूमा मालवेयरको निर्भरताले मोबाइल प्रयोगकर्ताहरूमा जारी जोखिमलाई जोड दिन्छ।
