SafeChat मोबाइल मालवेयर
ह्याकरहरूले यन्त्रहरूलाई स्पाइवेयर मालवेयरबाट संक्रमित गर्न 'SafeChat' नामक भ्रामक एन्ड्रोइड एप प्रयोग गरेको पत्ता लागेको छ। यो दुर्भावनापूर्ण सफ्टवेयरले कल लगहरू, पाठ सन्देशहरू र GPS स्थानहरू सहित फोनहरूबाट संवेदनशील जानकारी लुट्ने लक्ष्य राख्छ।
एन्ड्रोइड स्पाइवेयर कुख्यात 'कभरल्म' मालवेयरको भिन्नता भएको शंका गरिएको छ, जुन विभिन्न सञ्चार एपहरूबाट डाटा चोरी गर्ने क्षमताका लागि परिचित छ। लक्षित अनुप्रयोगहरूमा टेलिग्राम, सिग्नल, व्हाट्सएप, भाइबर र फेसबुक मेसेन्जर जस्ता लोकप्रिय प्लेटफर्महरू समावेश छन्।
यस अभियानको पछाडि ‘बहामुट ’ नामले चिनिने भारतीय एपीटी ह्याकिङ समूहको हात रहेको अनुमान गरिएको छ । उनीहरूलाई हालैका आक्रमणहरूका लागि जिम्मेवार अपराधीहरूको रूपमा पहिचान गरिएको छ, मुख्य रूपमा व्हाट्सएप मार्फत वितरण गरिएको स्पियर फिसिङ सन्देशहरू प्रयोग गरेर। यी सन्देशहरूले धम्कीपूर्ण पेलोडहरू बोक्छन्, जुन प्रत्यक्ष रूपमा पीडितहरूको उपकरणहरूमा डेलिभर गरिन्छ। यस बहामुट अभियानको प्राथमिक लक्ष्य दक्षिण एसियामा रहेका प्रयोगकर्ताहरू हुन्।
SafeChat मालवेयर वैध सन्देश अनुप्रयोगको रूपमा मास्करेड गर्दछ
आक्रमणकारीहरूले प्रयोग गर्ने एउटा सामान्य रणनीति भनेको पीडितहरूलाई च्याट अनुप्रयोग स्थापना गर्न प्रयास गर्ने र मनाउन, यसले उनीहरूलाई अझ सुरक्षित सञ्चार प्लेटफर्म उपलब्ध गराउने दाबी गर्ने हो। इन्फोसेक विज्ञहरूका अनुसार सेफ च्याटको भेषमा स्पाइवेयरले भ्रामक प्रयोगकर्ता इन्टरफेस प्रयोग गर्दछ जसले वास्तविक च्याट एपको नक्कल गर्दछ। यसबाहेक, यसले पीडितलाई वैध प्रयोगकर्ता दर्ता प्रक्रिया, विश्वसनीयता थप्दै र स्पाइवेयरको खराब गतिविधिहरूको लागि उत्तम आवरणको रूपमा काम गर्ने मार्फत मार्गदर्शन गर्दछ।
संक्रमण प्रक्रियामा एक महत्त्वपूर्ण चरणमा महत्त्वपूर्ण अनुमतिहरू प्राप्त गर्न समावेश छ, जस्तै पहुँच सेवाहरू प्रयोग गर्ने क्षमता। यी अनुमतिहरू त्यसपछि स्पाइवेयरलाई संवेदनशील डेटामा स्वचालित रूपमा थप पहुँच प्रदान गर्न दुरुपयोग गरिन्छ। विशेष रूपमा, स्पाइवेयरले पीडितको सम्पर्क सूची, एसएमएस सन्देशहरू, कल लगहरू, बाह्य उपकरण भण्डारणमा पहुँच प्राप्त गर्दछ र सम्झौता गरिएको उपकरणबाट सटीक GPS स्थान डेटा पुन: प्राप्त गर्न सक्छ।
थप रूपमा, एन्ड्रोइड म्यानिफेस्ट फाइलका स्निपेटहरूले स्पाइवेयरको पछाडि खतरा अभिनेताले यसलाई अन्य पहिले नै स्थापित च्याट अनुप्रयोगहरूसँग अन्तर्क्रिया गर्न डिजाइन गरेको कुरा प्रकट गर्दछ। अन्तरक्रिया आशयको प्रयोग मार्फत हुन्छ, र OPEN_DOCUMENT_TREE अनुमतिले स्पाइवेयरलाई विशेष डाइरेक्टरीहरू चयन गर्न र उद्देश्यमा उल्लेख गरिएका एपहरू पहुँच गर्न अनुमति दिन्छ।
संक्रमित यन्त्रबाट सङ्कलन गरिएको डाटालाई बाहिर निकाल्नको लागि, स्पाइवेयरले एक समर्पित डाटा एक्सफिल्टेशन मोड्युल प्रयोग गर्दछ। जानकारी त्यसपछि पोर्ट 2053 मार्फत आक्रमणकर्ताको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा स्थानान्तरण गरिन्छ। प्रसारणको क्रममा बाहिर निकालिएको जानकारीको गोपनीयता सुनिश्चित गर्न, स्पाइवेयरले RSA, ECB, र OAEPPadding लाई समर्थन गर्ने अर्को मोड्युलद्वारा सहजीकरण गरिएको इन्क्रिप्सन प्रयोग गर्दछ। यसबाहेक, आक्रमणकारीहरूले तिनीहरूको विरुद्धमा गरिएका नेटवर्क डेटाको कुनै पनि अवरोध प्रयासहरूबाट बच्न "लेट्स इन्क्रिप्ट" प्रमाणपत्र प्रयोग गर्छन्।
अन्य साइबर अपराध समूहहरूमा जडानहरू
SafeChat आक्रमण अभियानमा, 'DoNot APT' (APT-C-35) भनेर चिनिने अर्को भारतीय राज्य-प्रायोजित खतरा समूहसँग उल्लेखनीय समानता भएका धेरै रणनीतिहरू, प्रविधिहरू र प्रक्रियाहरू (TTPs) पहिचान गरिएका छन्। उल्लेखनीय रूपमा, 'DoNot APT' पहिले स्पाइवेयरको रूपमा काम गर्ने नक्कली च्याट एपहरूद्वारा गुगल प्लेमा घुसपैठ गर्ने कार्यमा संलग्न रहेको छ। दुई ह्याकर समूहहरू बीचको समानताहरूमा एउटै प्रमाणपत्र प्राधिकरणको प्रयोग, समान डेटा-चोरी विधिहरू, साझा लक्ष्यीकरण दायरा, र एन्ड्रोइड एपहरूको उपयोग तिनीहरूको लक्षित लक्ष्यहरूलाई संक्रमित गर्न समावेश छ।
यी अवलोकन गरिएका समानान्तरहरूले दुई खतरा समूहहरू बीचको सम्भावित ओभरल्याप वा नजिकको सहकार्यलाई दृढतापूर्वक सुझाव दिन्छ। थप रूपमा, डाटा चोरी गर्ने प्रविधिहरूमा समानता र साझा लक्ष्यीकरण फोकसले उनीहरूको आक्रमणमा साझा लक्ष्य वा उद्देश्यलाई संकेत गर्न सक्छ।
दुबै समूहले एन्ड्रोइड एपहरू घुसपैठको माध्यमको रूपमा प्रयोग गरेको तथ्यले सम्भावित सहयोग वा ज्ञान साझेदारीको धारणालाई अझ बलियो बनाउँछ। सहयोगका यी सङ्केतहरूलाई गम्भीरतापूर्वक लिनु महत्त्वपूर्ण छ किनभने तिनीहरूले यी राज्य-प्रायोजित समूहहरूद्वारा सुरु गरिएका आक्रमणहरूको परिष्कार र जटिलतामा सम्भावित वृद्धिलाई सङ्केत गर्छन्।
