मासिभ मोबाइल मालवेयर

साइबरसुरक्षा विश्लेषकहरूले Massiv भनेर चिनिने एक परिष्कृत एन्ड्रोइड बैंकिङ ट्रोजन पत्ता लगाएका छन्, जुन वित्तीय चोरीको उद्देश्यले उपकरण टेकओभर (DTO) आक्रमणहरू कार्यान्वयन गर्न ईन्जिनियर गरिएको छ। मालवेयरले अनलाइन टेलिभिजन सेवाहरू खोज्ने व्यक्तिहरूलाई लक्षित गर्दै वैध IPTV अनुप्रयोगहरूको रूपमा आफूलाई भेष दिन्छ।

सीमित संख्यामा केन्द्रित अभियानहरूमा पहिचान भए पनि, खतराको स्तर महत्त्वपूर्ण छ। एक पटक स्थापना भएपछि, Massiv ले आक्रमणकारीहरूलाई सम्झौता गरिएका उपकरणहरू टाढाबाट नियन्त्रण गर्न, धोखाधडीपूर्ण लेनदेनहरू सञ्चालन गर्न र पीडितहरूको मोबाइल बैंकिङ खाताहरूको प्रत्यक्ष शोषण गर्न सक्षम बनाउँछ।

यस वर्षको सुरुमा पोर्चुगल र ग्रीसका प्रयोगकर्ताहरूलाई लक्षित गर्ने अभियानहरूमा मालवेयर सुरुमा पत्ता लागेको थियो। यद्यपि, फोरेन्सिक विश्लेषणले २०२५ को सुरुवातमा नमूना भेरियन्टहरू पत्ता लगाएको छ, जसले पहिलेको सानो स्तरको परीक्षण सञ्चालनलाई सुझाव दिन्छ।

उन्नत प्रमाणपत्र कटाई र ओभरले हेरफेर

Massiv ले उन्नत एन्ड्रोइड बैंकिङ मालवेयरमा सामान्यतया पाइने क्षमताहरू समावेश गर्दछ। यसले एन्ड्रोइडको मिडियाप्रोजेक्शन एपीआई मार्फत स्क्रिन स्ट्रिमिङ, किलगिङ, एसएमएस अवरोध, र वैध बैंकिङ र वित्तीय अनुप्रयोगहरूमा राखिएको भ्रामक ओभरले सहित धेरै प्रविधिहरू मार्फत प्रमाणपत्र चोरीलाई सहज बनाउँछ। यी ओभरलेहरूले प्रयोगकर्ताहरूलाई लगइन प्रमाणपत्रहरू र क्रेडिट कार्ड जानकारी पेश गर्न प्रेरित गर्दछ।

पहिचान कागजातहरू भण्डारण गर्न र डिजिटल मोबाइल की (Chave Móvel Digital वा CMD) व्यवस्थापन गर्न प्रयोग गरिने पोर्चुगिज सरकारी अनुप्रयोग, gov.pt लाई विशेष रूपमा लक्षित गरिएको एउटा उल्लेखनीय अभियान। दुर्भावनापूर्ण ओभरलेले आधिकारिक इन्टरफेसको प्रतिरूपण गर्‍यो र प्रयोगकर्ताहरूको फोन नम्बर र PIN कोडहरू अनुरोध गर्‍यो, जसले गर्दा Know Your Customer (KYC) प्रमाणीकरण प्रक्रियाहरू अवरुद्ध हुन सक्छन्।

अनुसन्धानले पीडितहरूको नाममा नयाँ बैंक खाता खोल्न चोरी गरिएको डाटा प्रयोग गरिएको उदाहरणहरू पनि पत्ता लगाएको छ। यी जालसाजीपूर्ण खाताहरू पछि पीडितहरूको जानकारी बिना नै मनी लान्ड्रिङ सञ्चालन वा अनधिकृत ऋण आवेदनहरूको लागि प्रयोग गरिएको थियो।

रिमोट कन्ट्रोल क्षमताहरू र स्क्रिन क्याप्चर चोरी

प्रमाणपत्र चोरी बाहेक, Massiv ले पूर्ण रूपमा कार्यात्मक रिमोट एक्सेस उपकरणको रूपमा काम गर्छ। यसले आक्रमणकारीहरूलाई संक्रमित उपकरणहरूको गोप्य नियन्त्रण प्रदान गर्दछ जबकि दुर्भावनापूर्ण गतिविधि लुकाउन कालो स्क्रिन ओभरले प्रदर्शन गर्दछ। यी प्रविधिहरूले एन्ड्रोइड पहुँच सेवाहरूको शोषण गर्छन्, यो रणनीति क्रोकोडिलस, ड्याट्जब्रो र क्लोपाट्रा जस्ता अन्य बैंकिङ ट्रोजनहरूमा पनि अवलोकन गरिएको छ।

केही वित्तीय अनुप्रयोगहरूले स्क्रिन-क्याप्चर सुरक्षा संयन्त्रहरू लागू गर्छन्। यी प्रतिरक्षाहरूलाई बाइपास गर्न, Massiv ले 'UI-tree मोड' भनेर चिनिने प्रविधि प्रयोग गर्छ। यो विधिले AccessibilityWindowInfo को जराहरू पार गर्छ र उपकरणको दृश्य इन्टरफेसको विस्तृत प्रतिनिधित्व पुनर्निर्माण गर्न AccessibilityNodeInfo वस्तुहरूलाई पुनरावर्ती रूपमा प्रशोधन गर्छ।

मालवेयरले दृश्यात्मक पाठ, सामग्री विवरण, UI तत्वहरू, स्क्रिन निर्देशांकहरू, र अन्तरक्रिया झण्डाहरू समावेश गर्ने संरचित JSON नक्सा उत्पन्न गर्दछ जसले तत्वहरू क्लिक गर्न योग्य, सम्पादन गर्न योग्य, केन्द्रित, वा सक्षम छन् कि छैनन् भनेर संकेत गर्दछ। पाठ समावेश गर्ने दृश्यात्मक नोडहरू मात्र आक्रमणकारीको आदेश पूर्वाधारमा प्रसारित हुन्छन्, जारी गरिएका आदेशहरू मार्फत सटीक रिमोट अन्तरक्रियालाई अनुमति दिन्छ।

व्यापक दुर्भावनापूर्ण कार्यक्षमता

Massiv एक व्यापक परिचालन टूलकिटले सुसज्जित छ जसले व्यापक उपकरण हेरफेर र दृढता सक्षम गर्दछ। यसको क्षमताहरूमा समावेश छन्:

• कालो स्क्रिन ओभरले सक्रिय वा असक्षम गर्ने, ध्वनि र कम्पन म्यूट गर्ने
• उपकरण स्क्रिन स्ट्रिम गर्दै र उपकरण जानकारी पठाउँदै
• टाढाबाट क्लिक र स्वाइप इशाराहरू प्रदर्शन गर्दै
• क्लिपबोर्ड सामग्री परिमार्जन गर्दै
• ढाँचा प्रमाणीकरण प्रयोग गरेर उपकरण अनलक गर्दै
• लक्षित अनुप्रयोगहरू वा लक स्क्रिनहरूको लागि ओभरलेहरू तैनाथ गर्दै
• ओभरले प्याकेजहरू डाउनलोड गर्दै र थप APK फाइलहरू स्थापना गर्दै
• ब्याट्री अप्टिमाइजेसन, डिभाइस एडमिनिस्ट्रेटर र प्ले प्रोटेक्ट जस्ता सिस्टम सेटिङहरू खोल्दै
• एसएमएस र प्याकेज स्थापना अनुमतिहरू अनुरोध गर्दै
• उपकरण लग डाटाबेसहरू खाली गर्दै

यी प्रकार्यहरूले सामूहिक रूपमा आक्रमणकारीहरूलाई नियन्त्रण कायम राख्न, पत्ता लगाउनबाट बच्न र वित्तीय ठगीलाई सटीकताका साथ कार्यान्वयन गर्न अनुमति दिन्छन्।

वितरण रणनीति: IPTV-थीम ड्रपरहरू

आईपीटीभी सेवाहरूको नक्कल गर्ने ड्रपर एप्लिकेसनहरू प्रयोग गरेर एसएमएस फिसिङ अभियानहरू मार्फत मासिभ फैलिन्छ। स्थापना पछि, ड्रपरले पीडितलाई 'महत्वपूर्ण' अपडेट स्थापना गर्न प्रेरित गर्छ र बाह्य स्रोतहरूबाट अनुप्रयोगहरू स्थापना गर्न अनुमति अनुरोध गर्दछ।

पहिचान गरिएका दुर्भावनापूर्ण कलाकृतिहरू समावेश छन्:

• IPTV24 (hfgx.mqfy.fejku) – ड्रपर एप्लिकेसन
• गुगल प्ले (hobfjp.anrxf.cucm) – ठूलो मात्रामा पेलोड

धेरैजसो दस्तावेज गरिएका केसहरूमा, वैध IPTV अनुप्रयोगहरू सम्झौता गरिएका थिएनन्। बरु, ड्रपरले WebView मार्फत IPTV-सम्बन्धित वेब सामग्री मात्र प्रदर्शन गर्‍यो, जसले गर्दा पृष्ठभूमिमा मालवेयर कार्यान्वयन हुँदा कार्यक्षमताको भ्रम सिर्जना गर्‍यो।

विगत छ महिनामा, यस्तै टिभी-थीम ड्रपर अभियानहरूले मुख्यतया स्पेन, पोर्चुगल, फ्रान्स र टर्कीलाई लक्षित गरेका छन्।

व्यावसायीकरण र निरन्तर विकासका सूचकहरू

साइबर अपराधी समुदायहरू भित्र टर्नकी वित्तीय ठगी समाधानहरूको निरन्तर मागलाई जोड दिँदै, मासिभ पहिले नै संतृप्त एन्ड्रोइड मालवेयर इकोसिस्टममा प्रवेश गर्छ।

मालवेयर-एज-ए-सर्भिस प्रस्तावको रूपमा अझै पुष्टि नभए पनि, विश्लेषणले त्यो दिशामा चाललाई संकेत गर्दछ। ब्याकएन्ड सञ्चारको लागि एपीआई कुञ्जीहरूको परिचयले सञ्चालनलाई मानकीकृत गर्ने र सम्भावित रूपमा तेस्रो-पक्ष प्रयोगलाई सक्षम पार्ने प्रयासलाई सुझाव दिन्छ। कोड समीक्षाले सक्रिय विकासलाई थप प्रकट गर्दछ, जसले भविष्यका पुनरावृत्तिहरूमा थप सुविधाहरू र विस्तारित क्षमताहरू देखा पर्न सक्छन् भन्ने संकेत गर्दछ।