ਗਿਰਗਿਟ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ
ਐਂਡਰੌਇਡ ਟਰੋਜਨ ਦਾ ਇੱਕ ਨਵਾਂ ਰੂਪ ਜਿਸਨੂੰ 'ਗ੍ਰਿਗਟ' ਕਿਹਾ ਜਾਂਦਾ ਹੈ, 2023 ਦੀ ਸ਼ੁਰੂਆਤ ਤੋਂ ਆਸਟ੍ਰੇਲੀਆ ਅਤੇ ਪੋਲੈਂਡ ਦੋਵਾਂ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਖਾਸ ਮਾਲਵੇਅਰ ਜਾਇਜ਼ ਇਕਾਈਆਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜਿਵੇਂ ਕਿ CoinSpot ਕ੍ਰਿਪਟੋਕੁਰੰਸੀ ਐਕਸਚੇਂਜ, ਇੱਕ ਆਸਟ੍ਰੇਲੀਆਈ ਸਰਕਾਰੀ ਏਜੰਸੀ, ਅਤੇ IKO ਬੈਂਕ।
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਫਰਮ ਸਾਈਬਲ ਦੇ ਅਨੁਸਾਰ, ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਸ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਦੀ ਵੰਡ ਵੱਖ-ਵੱਖ ਚੈਨਲਾਂ ਦੁਆਰਾ ਹੋਈ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈਬਸਾਈਟਾਂ, ਪ੍ਰਸਿੱਧ ਸੰਚਾਰ ਪਲੇਟਫਾਰਮ ਡਿਸਕਾਰਡ 'ਤੇ ਅਟੈਚਮੈਂਟ, ਅਤੇ ਬਿੱਟਬਕੇਟ ਦੁਆਰਾ ਪ੍ਰਦਾਨ ਕੀਤੀਆਂ ਗਈਆਂ ਹੋਸਟਿੰਗ ਸੇਵਾਵਾਂ ਸ਼ਾਮਲ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, Chameleon Android trojan ਵਿੱਚ ਹਾਨੀਕਾਰਕ ਸਮਰੱਥਾਵਾਂ ਦੇ ਇੱਕ ਵਿਸ਼ਾਲ ਸਪੈਕਟ੍ਰਮ ਦਾ ਮਾਣ ਹੈ, ਜਿਸ ਵਿੱਚ ਓਵਰਲੇਅ ਇੰਜੈਕਸ਼ਨਾਂ ਅਤੇ ਕੀਲੌਗਿੰਗ ਦੁਆਰਾ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਚੋਰੀ ਦੇ ਨਾਲ-ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੀ ਗਈ ਡਿਵਾਈਸ ਤੋਂ ਕੂਕੀਜ਼ ਅਤੇ SMS ਸੁਨੇਹਿਆਂ ਦਾ ਸੰਗ੍ਰਹਿ ਸ਼ਾਮਲ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਗਿਰਗਿਟ ਵੱਖ-ਵੱਖ ਐਂਟੀ-ਡਿਟੈਕਸ਼ਨ ਜਾਂਚਾਂ ਕਰਦਾ ਹੈ
ਉਲੰਘਣਾ ਕੀਤੇ Android ਡਿਵਾਈਸ 'ਤੇ ਚੱਲਣ 'ਤੇ, Chameleon ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਇਹ ਨਿਰਧਾਰਤ ਕਰਨ ਲਈ ਐਂਟੀ-ਇਮੂਲੇਸ਼ਨ ਜਾਂਚਾਂ ਸ਼ਾਮਲ ਹਨ ਕਿ ਕੀ ਡਿਵਾਈਸ ਰੂਟ ਹੈ ਅਤੇ ਕੀ ਡੀਬੱਗਿੰਗ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕੀਤਾ ਗਿਆ ਹੈ। ਜੇਕਰ ਧਮਕੀ ਪਤਾ ਲਗਾਉਂਦੀ ਹੈ ਕਿ ਇਹ ਇੱਕ ਵਿਸ਼ਲੇਸ਼ਕ ਦੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਚੱਲ ਰਿਹਾ ਹੈ, ਤਾਂ ਇਹ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਸੰਕਰਮਣ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਬੰਦ ਕਰ ਸਕਦਾ ਹੈ।
ਜੇਕਰ ਇਹ ਨਿਰਧਾਰਿਤ ਕਰਦਾ ਹੈ ਕਿ ਵਾਤਾਵਰਣ ਸੁਰੱਖਿਅਤ ਹੈ, ਤਾਂ ਗਿਰਗਿਟ ਆਪਣੀ ਖਤਰਨਾਕ ਪ੍ਰੋਗਰਾਮਿੰਗ ਨਾਲ ਅੱਗੇ ਵਧਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਨੂੰ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਅਧਿਕਾਰਤ ਕਰਨ ਲਈ ਪ੍ਰੇਰਦਾ ਹੈ। ਇਸ ਅਨੁਮਤੀ ਦਾ ਫਿਰ ਆਪਣੇ ਆਪ ਨੂੰ ਵਾਧੂ ਅਧਿਕਾਰ ਦੇਣ, Google Play Protect ਨੂੰ ਬੰਦ ਕਰਨ, ਅਤੇ ਪੀੜਤ ਨੂੰ ਟਰੋਜਨ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਨ ਤੋਂ ਰੋਕਣ ਦੀ ਧਮਕੀ ਦੁਆਰਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।
ਹਮਲਾਵਰ ਗਿਰਗਿਟ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਰਾਹੀਂ ਕਈ ਤਰ੍ਹਾਂ ਦੀਆਂ ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੀਆਂ ਗਤੀਵਿਧੀਆਂ ਕਰ ਸਕਦੇ ਹਨ
ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਨ 'ਤੇ, ਕੈਮੇਲੀਅਨ ਮਾਲਵੇਅਰ ਡਿਵਾਈਸ ਦਾ ਸੰਸਕਰਣ, ਮਾਡਲ, ਰੂਟ ਸਥਿਤੀ, ਦੇਸ਼ ਅਤੇ ਸਹੀ ਸਥਾਨ ਭੇਜ ਕੇ ਸੰਚਾਰ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਨਵੀਂ ਲਾਗ ਨੂੰ ਪ੍ਰੋਫਾਈਲ ਕਰਨ ਅਤੇ ਇਸ ਦੇ ਅਨੁਸਾਰ ਇਸ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਤਿਆਰ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਹੈ।
ਇਸ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀ ਇਕਾਈ 'ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹੋਏ, ਇਹ ਇੱਕ ਵੈਬਵਿਊ ਵਿੱਚ ਇੱਕ ਜਾਇਜ਼ URL ਖੋਲ੍ਹਦਾ ਹੈ ਅਤੇ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਖਤਰਨਾਕ ਮੋਡੀਊਲ ਨੂੰ ਲੋਡ ਕਰਨਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਮੌਡਿਊਲਾਂ ਵਿੱਚ ਇੱਕ ਕੂਕੀ ਸਟੀਲਰ, ਇੱਕ ਕੀਲੌਗਰ, ਇੱਕ ਫਿਸ਼ਿੰਗ ਪੇਜ ਇੰਜੈਕਟਰ, ਇੱਕ ਲੌਕ ਸਕ੍ਰੀਨ PIN/ਪੈਟਰਨ ਗ੍ਰੈਬਰ, ਅਤੇ ਇੱਕ SMS ਸਟੀਲਰ ਸ਼ਾਮਲ ਹਨ। ਬਾਅਦ ਵਾਲਾ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਬਾਰੇ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇੱਕ-ਵਾਰ ਪਾਸਵਰਡ ਕੱਢ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣੀਕਰਨ ਸੁਰੱਖਿਆ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।
ਇਸਦੀਆਂ ਡਾਟਾ-ਇਕੱਠਾ ਕਰਨ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ, ਕੈਮੇਲੀਅਨ ਮਾਲਵੇਅਰ ਅਸੈਸਬਿਲਟੀ ਸੇਵਾਵਾਂ ਦੀ ਦੁਰਵਰਤੋਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਨੂੰ ਸਕ੍ਰੀਨ ਸਮਗਰੀ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ, ਖਾਸ ਘਟਨਾਵਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ, ਇੰਟਰਫੇਸ ਤੱਤਾਂ ਨੂੰ ਸੋਧਣ, ਅਤੇ ਲੋੜ ਅਨੁਸਾਰ ਲੋੜੀਂਦੀ API ਕਾਲਾਂ ਭੇਜਣ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਗਿਰਗਿਟ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਨਿਰੰਤਰਤਾ ਸਥਾਪਤ ਕਰਦਾ ਹੈ
ਇਸਦੀਆਂ ਡਾਟਾ-ਇਕੱਤਰ ਕਰਨ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਤੋਂ ਇਲਾਵਾ, ਕੈਮੇਲੀਅਨ ਮਾਲਵੇਅਰ ਅਸੁਰੱਖਿਅਤ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਹਟਾਉਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਣ ਲਈ ਅਸੈਸਬਿਲਟੀ ਸੇਵਾਵਾਂ ਦਾ ਵੀ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ। ਇਹ ਪੀੜਤ ਦੁਆਰਾ ਅਣਇੰਸਟੌਲ ਕਰਨ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਕੇ ਅਤੇ ਮਾਲਵੇਅਰ ਨਾਲ ਜੁੜੇ ਸਾਂਝੇ ਤਰਜੀਹ ਵੇਰੀਏਬਲਾਂ ਨੂੰ ਮਿਟਾਉਣ ਦੁਆਰਾ ਇਸਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ। ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਜਾਪਦਾ ਹੈ ਜਿਵੇਂ ਐਪ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕੀਤਾ ਗਿਆ ਹੈ ਜਦੋਂ, ਅਸਲ ਵਿੱਚ, ਇਹ ਡਿਵਾਈਸ 'ਤੇ ਰਹਿੰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਫਰਮ ਸਾਈਬਲ ਨੇ ਚੈਮੇਲੀਅਨ ਦੇ ਅੰਦਰ ਕੋਡ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ ਜੋ ਇਸਨੂੰ ਰਨਟਾਈਮ ਦੇ ਦੌਰਾਨ ਇੱਕ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਇਸਨੂੰ '.jar' ਫਾਈਲ ਦੇ ਰੂਪ ਵਿੱਚ ਹੋਸਟ ਡਿਵਾਈਸ 'ਤੇ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦਾ ਹੈ। ਇਸ ਫ਼ਾਈਲ ਨੂੰ ਬਾਅਦ ਵਿੱਚ DexClassLoader ਰਾਹੀਂ ਲਾਗੂ ਕਰਨ ਦਾ ਇਰਾਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਇਸ ਸਮੇਂ ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਵਰਤੋਂ ਵਿੱਚ ਨਹੀਂ ਜਾਪਦੀ ਹੈ।
