कन्फेटी मोबाइल मालवेयर
साइबर सुरक्षा अनुसन्धानकर्ताहरूले कुख्यात एन्ड्रोइड मालवेयर, कन्फेटीको एक उन्नत संस्करण पत्ता लगाएका छन्, जसले अब ठूलो मात्रामा विज्ञापन ठगी गर्न दुष्ट जुम्ल्याहा प्रविधिको प्रयोग गर्दछ। यो विधिले मोबाइल इकोसिस्टमलाई लक्षित गर्ने खतराहरूको बढ्दो जटिलतालाई रेखांकित गर्दछ।
सामग्रीको तालिका
दुष्ट जुम्ल्याहा रणनीतिको व्याख्या गरियो
नयाँ अवलोकन गरिएको दृष्टिकोणमा एउटै प्याकेज नाम साझा गर्ने अनुप्रयोगको दुई संस्करणहरू सिर्जना गर्नु समावेश छ। एउटा संस्करण एउटा वैध, सौम्य एप हो जुन प्रायः गुगल प्ले स्टोरमा उपलब्ध हुन्छ, जबकि यसको दुर्भावनापूर्ण समकक्ष, 'दुष्ट जुम्ल्याहा' तेस्रो-पक्ष स्रोतहरू मार्फत वितरित गरिन्छ। उल्लेखनीय रूपमा, डिकॉय एप आक्रमणकारीहरू आफैंबाट उत्पन्न हुनुपर्दैन; धेरै अवस्थामा, यो प्ले स्टोरमा पहिले नै एक प्रामाणिक एप हो। एकमात्र आवश्यकता भनेको दुर्भावनापूर्ण संस्करणले समान प्याकेज नाम प्रयोग गर्नु हो, जसले यसको उपस्थिति लुकाउन मद्दत गर्दछ।
अनुकूलन क्षमता र उन्नत प्रविधिहरू
कन्फेटी पछाडिका अभिनेताहरूले उल्लेखनीय अनुकूलन क्षमता देखाएका छन्, बारम्बार लक्षित विज्ञापन नेटवर्कहरू परिवर्तन गर्दै र पत्ता लगाउनबाट बच्न प्रविधिहरू परिष्कृत गर्दै। पछिल्लो संस्करणले APK को ZIP संरचनासँग छेडछाड गरेर यसलाई अझ अगाडि बढाउँछ। विकृत APK हरूको प्रयोग मार्फत, आक्रमणकारीहरूले सुरक्षा जाँचहरू बाइपास गर्छन् र रिभर्स-इन्जिनियरिङ प्रयासहरूलाई जटिल बनाउँछन्। तिनीहरूले रनटाइममा मुख्य Dalvik Executable (DEX) पेलोडलाई गतिशील रूपमा लोड गर्छन्, जबकि एकै साथ एक विशिष्ट ZIP झण्डा सक्षम पार्छन् जसले प्रणालीलाई फाइल इन्क्रिप्ट गरिएको छ भनेर विश्वास गर्न भ्रमित गर्दछ। यसले निरीक्षणको क्रममा गलत पासवर्ड प्रम्प्ट सिर्जना गर्दछ, प्रभावकारी रूपमा सामग्रीहरू पहुँच गर्न विश्लेषकहरूलाई रोक्छ।
सङ्कुचन युक्तिहरू र विश्लेषण अवरोध
अस्पष्टताको अर्को तहमा, कन्फेटीले AndroidManifest.xml फाइल भित्र BZIP कम्प्रेसन विधि प्रयोग गरेको झूटो दाबी गर्छ। यो गलत प्रस्तुतिले पार्सिङ विफलता, केही विश्लेषण उपकरणहरू क्र्यास र फोरेन्सिक प्रयासहरू रोक्न सक्छ। यस्तै कम्प्रेसन-आधारित चोरी पहिले SoumniBot मालवेयरमा अवलोकन गरिएको थियो, जसले सुझाव दिन्छ कि यो एन्ड्रोइड मालवेयर विकासमा उदीयमान प्रवृत्तिको अंश हो।
गतिशील कोड लोडिङ मार्फत चोरी
कन्फेटीको स्टिल्थमा गतिशील कोड लोडिङले महत्त्वपूर्ण भूमिका खेल्छ। मालवेयरले एप स्थापना वा स्थिर विश्लेषणको समयमा हुने सामान्य सुरक्षा जाँचहरूलाई बेवास्ता गर्दै, कार्यान्वयनको क्रममा यसको DEX पेलोडलाई सिधै मेमोरीमा डिक्रिप्ट र लोड गर्दछ। इन्क्रिप्टेड सम्पत्तिहरू र भ्रामक म्यानिफेस्ट प्रविष्टिहरूसँग मिलेर, यो स्तरित अस्पष्टता रणनीतिले कन्फेटीलाई पत्ता लगाउने र रिभर्स इन्जिनियरिङ विरुद्ध विशेष रूपमा लचिलो बनाउँछ।
दुर्भावनापूर्ण क्षमताहरू र जियोफेन्सिङ
पहिलेका पुनरावृत्तिहरू जस्तै, कन्फेटीले विज्ञापनहरू ल्याउन, थप पेलोडहरू डेलिभर गर्न र आक्रमणकारी-नियन्त्रित सर्भरहरूसँग सञ्चार कायम राख्न CaramelAds SDK लाई एकीकृत गर्दछ। विज्ञापन धोखाधडी बाहेक, यसमा प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण वेबसाइटहरूमा रिडिरेक्ट गर्ने, अवांछित एप स्थापनाहरू सुरु गर्ने, र निरन्तर, स्प्याम-जस्तो ब्राउजर सूचनाहरू धकेल्ने क्षमता छ। यसको चोरीमा थप्दै, कन्फेटीले आफ्नो एप आइकन लुकाउँछ र पीडितको भौगोलिक स्थानको आधारमा यसको व्यवहार परिमार्जन गर्न जियोफेन्सिङ रणनीतिहरू प्रयोग गर्दछ।
निष्कर्षमा
कन्फेटीको विकासले मोबाइल मालवेयर परिष्कारमा स्पष्ट वृद्धिलाई प्रतिबिम्बित गर्दछ। यसको उन्नत APK छेडछाड, गतिशील कोड इन्जेक्सन, र भ्रामक कन्फिगरेसनहरूको संयोजनले सुरक्षा नियन्त्रणहरू बाइपास गर्न र संक्रमित उपकरणहरूमा दृढता कायम राख्ने लक्ष्य राख्ने खतरा अभिनेताहरूको निरन्तर नवीनतालाई प्रदर्शन गर्दछ।
