नेक्रो ट्रोजन
2019 मा, साइबरसुरक्षा अनुसन्धानकर्ताहरूले समस्याग्रस्त मुद्दाको पर्दाफास गरे: Google Play Store मा एक वैध एन्ड्रोइड अनुप्रयोगलाई विकासकर्ताहरूले विज्ञापन राजस्व उत्पन्न गर्न प्रयोग गरेको तेस्रो-पक्ष पुस्तकालयले सम्झौता गरेको थियो। यो परिमार्जनको परिणामस्वरूप 100 मिलियन यन्त्रहरू आक्रमणकारीहरूद्वारा नियन्त्रित सर्भरहरूमा जडान भएको थियो, जसले त्यसपछि लुकेका पेलोडहरू तैनात गर्यो।
यस्तै अवस्था अहिले फेरि देखिन थालेको छ । इन्फोसेक विज्ञहरूले गुगल प्लेबाट ११ मिलियन पटक डाउनलोड गरिएका दुई नयाँ एपहरू पहिचान गरेका छन्, जुन एउटै मालवेयर परिवारबाट संक्रमित छन्। यस्तो देखिन्छ कि विज्ञापन सुविधाहरू एकीकृत गर्न प्रयोग गरिएको असुरक्षित सफ्टवेयर विकास किट एक पटक फेरि दोषी छ।
सामग्रीको तालिका
SDK भनेको के हो?
सफ्टवेयर विकास किटहरू, वा SDKs, विकासकर्ताहरूलाई पूर्व-निर्मित फ्रेमवर्कहरू प्रदान गर्दछ जसले नियमित कार्यहरू ह्यान्डल गरेर अनुप्रयोग निर्माण प्रक्रियालाई सरल र गति दिन्छ। यस अवस्थामा, एउटा अप्रमाणित SDK मोड्युल, विज्ञापन प्रदर्शन समर्थन गर्न डिजाइन गरिएको देखिन्छ, अनुप्रयोगहरूमा एकीकृत गरिएको थियो। यद्यपि, सतह मुनि, यसले सम्झौता गरिएका सर्भरहरूसँग गुप्त रूपमा सञ्चारको लागि उन्नत विधिहरू सक्षम पार्यो। यसले अनुप्रयोगहरूलाई प्रयोगकर्ता डेटा अपलोड गर्न र हानिकारक कोड डाउनलोड गर्न अनुमति दियो, जुन कुनै पनि समयमा कार्यान्वयन वा अद्यावधिक गर्न सकिन्छ।
कसरी नेक्रो ट्रोजनहरूले उपकरणहरू संक्रमित गर्छन्?
दुबै अभियानहरू पछाडि रहेको मालवेयर परिवारलाई नेक्रो भनिन्छ, र यस उदाहरणमा, केही भेरियन्टहरूले स्टेगानोग्राफी जस्ता उन्नत प्रविधिहरू प्रयोग गर्छन् - मोबाइल खतराहरूमा दुर्लभ अस्पष्ट विधि। केही भेरियन्टहरूले उच्च प्रणाली विशेषाधिकारहरूसँग सञ्चालन गर्न सक्षम जालसाजी कोडहरू प्रदान गर्न परिष्कृत विधिहरू पनि प्रयोग गर्छन्। एक पटक एक उपकरण संक्रमित भएपछि, यसले आक्रमणकर्ता-नियन्त्रित आदेश-र-नियन्त्रण सर्भरसँग सञ्चार गर्दछ। यसले एन्क्रिप्टेड JSON डेटा पठाउँछ जसले सम्झौता गरिएको यन्त्र र जालसाजी मोड्युल होस्ट गर्ने अनुप्रयोगको विवरणहरू रिपोर्ट गर्दछ।
सर्भरले त्यसपछि JSON सन्देशको साथ जवाफ दिन्छ जसमा PNG छवि र छविको ह्यास भएको मेटाडेटाको लिङ्क समावेश हुन्छ। यदि संक्रमित यन्त्रमा रहेको मोड्युलले ह्यास प्रमाणित गर्छ भने, यसले छवि डाउनलोड गर्न अगाडि बढ्छ।
अन्वेषकहरूले व्याख्या गरे कि SDK मोड्युलले सरल स्टेगानोग्राफिक एल्गोरिथ्म प्रयोग गर्दछ। MD5 जाँच पास गरेपछि, यसले मानक एन्ड्रोइड उपकरणहरू प्रयोग गरी PNG फाइलको सामग्रीहरू, विशेष गरी ARGB च्यानलहरूबाट पिक्सेल मानहरू निकाल्छ। getPixel विधिले एउटा मान पुन: प्राप्त गर्दछ जहाँ न्यूनतम महत्त्वपूर्ण बाइटले छविको नीलो च्यानल समावेश गर्दछ, र मालवेयरले त्यहाँबाट यसको प्रशोधन सुरु गर्दछ।
नेक्रो ट्रोजनले गम्भीर परिणामहरू निम्त्याउन सक्छ
मालवेयर द्वारा स्थापित फलो-अन पेलोडहरू धोखाधडी प्लगइनहरू डाउनलोड गर्नुहोस् जुन प्रत्येक संक्रमित उपकरणको लागि विभिन्न कार्यहरू गर्न अनुकूलित गर्न सकिन्छ। एउटा यस्तो प्लगइनले कोडलाई उन्नत प्रणाली विशेषाधिकारहरूसँग कार्यान्वयन गर्न अनुमति दिन्छ। सामान्यतया, एन्ड्रोइडले विशेषाधिकार प्राप्त प्रक्रियाहरूलाई WebView प्रयोग गर्नबाट प्रतिबन्धित गर्छ—एप्लिकेशनहरू भित्र वेब पृष्ठहरू प्रदर्शन गर्नको लागि एउटा घटक। यस प्रतिबन्धलाई हटाउन, नेक्रोले WebView कारखानाको छुट्टै घटना सिर्जना गर्न प्रतिबिम्ब आक्रमणको रूपमा चिनिने प्रविधि प्रयोग गर्दछ।
थप रूपमा, यो प्लगइनले WebView मार्फत प्रदर्शित लिङ्कहरू परिमार्जन गर्ने अन्य फाइलहरू डाउनलोड र कार्यान्वयन गर्न सक्छ। उन्नत प्रणाली अधिकारहरूसँग, यी कार्यान्वयनयोग्यहरूले सशुल्क सदस्यताहरूको लागि पुष्टिकरण कोडहरू घुसाउन र आक्रमणकर्ता-नियन्त्रित लिङ्कहरूबाट कोड डाउनलोड गर्न र चलाउन URL हरू परिवर्तन गर्न सक्छन्। शोधकर्ताहरूले नेक्रोको विश्लेषण गर्दा पाँचवटा फरक पेलोडहरू पहिचान गरे। थप रूपमा, नेक्रोको मोड्युलर संरचनाले मालवेयरलाई सञ्चालन गर्न धेरै तरिकाहरू प्रदान गर्दछ।
नेक्रो ट्रोजन दुई अनुप्रयोगहरूमा फेला पर्यो
अन्वेषकहरूले गुगल प्लेमा दुई अनुप्रयोगहरूमा नेक्रो पहिचान गरे। ती मध्ये एक, Wuta क्यामेरा, 10 मिलियन डाउनलोड प्राप्त गरेको छ। Wuta क्यामेराको 6.3.2.148 बाट 6.3.6.148 सम्मको संस्करणहरूमा संक्रमणको लागि जिम्मेवार SDK समावेश थियो, तर हानिकारक कम्पोनेन्ट हटाउनको लागि अनुप्रयोगलाई अद्यावधिक गरिएको छ। अर्को अनुप्रयोग, म्याक्स ब्राउजर, लगभग 1 मिलियन डाउनलोड संग, पनि सम्झौता गरिएको थियो; यद्यपि, यो अब Google Play मा उपलब्ध छैन।
थप रूपमा, अन्वेषकहरूले वैकल्पिक बजारहरूमा प्रस्ताव गरिएका एन्ड्रोइड अनुप्रयोगहरूको दायरालाई संक्रमित गर्ने नेक्रो पत्ता लगाए। यी एप्लिकेसनहरू सामान्यतया Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer र Melon Sandbox लगायत वैध अनुप्रयोगहरूको परिमार्जित संस्करणको रूपमा प्रस्तुत गरिन्छ।
