FireScam Mobile Malware
ਫਾਇਰਸਕੈਮ ਨਾਮਕ ਇੱਕ ਨਵੀਂ ਪਛਾਣ ਕੀਤੀ ਗਈ ਐਂਡਰਾਇਡ ਧਮਕੀ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਟੈਲੀਗ੍ਰਾਮ ਮੈਸੇਜਿੰਗ ਐਪ ਦੇ ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਸੰਸਕਰਣ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੰਦਾ ਹੈ। ਇਹ ਧੋਖਾ ਦੇਣ ਵਾਲੀ ਚਾਲ ਡਰਾਉਣੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਸੰਵੇਦਨਸ਼ੀਲ ਉਪਭੋਗਤਾ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਤੱਕ ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਨੂੰ ਕਾਇਮ ਰੱਖਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇੱਕ ਚਲਾਕ ਭੇਸ: ਨਕਲੀ ਟੈਲੀਗ੍ਰਾਮ ਪ੍ਰੀਮੀਅਮ ਐਪਲੀਕੇਸ਼ਨ
ਫਾਇਰਸਕੈਮ ਨਕਲੀ 'ਟੈਲੀਗ੍ਰਾਮ ਪ੍ਰੀਮੀਅਮ' ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਆੜ ਵਿੱਚ ਵੰਡਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ GitHub.io 'ਤੇ ਹੋਸਟ ਕੀਤੀ ਇੱਕ ਫਿਸ਼ਿੰਗ ਵੈੱਬਸਾਈਟ ਰਾਹੀਂ ਫੈਲਦਾ ਹੈ, ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ ਝੂਠੇ ਰੂਪ ਵਿੱਚ RuStore ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਦੀ ਹੈ — ਰੂਸ ਵਿੱਚ ਇੱਕ ਮਸ਼ਹੂਰ ਐਪ ਮਾਰਕੀਟਪਲੇਸ। ਸੁਰੱਖਿਆ ਵਿਸ਼ਲੇਸ਼ਕ ਇਸ ਮੋਬਾਈਲ ਖਤਰੇ ਨੂੰ ਗੁੰਝਲਦਾਰ ਅਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਅਨੁਕੂਲ ਵਜੋਂ ਵਰਣਨ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਸਥਾਪਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਇੱਕ ਬਹੁ-ਪੜਾਅ ਦੀ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਦਾ ਪਾਲਣ ਕਰਦਾ ਹੈ, ਇੱਕ ਡਰਾਪਰ ਏਪੀਕੇ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਵਿਆਪਕ ਨਿਗਰਾਨੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
ਧੋਖਾਧੜੀ ਵਾਲੀ ਸਾਈਟ, rustore-apk.github.io, RuStore ਦੇ ਇੰਟਰਫੇਸ ਦੀ ਨਕਲ ਕਰਦੀ ਹੈ ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ 'GetAppsRu.apk' ਨਾਮਕ ਡਰਾਪਰ ਏਪੀਕੇ ਫਾਈਲ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਧੋਖਾ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।
ਫਾਇਰਸਕੈਮ ਦੇ ਹਮਲੇ ਵਿੱਚ ਡਰਾਪਰ ਦੀ ਭੂਮਿਕਾ
ਇੰਸਟਾਲੇਸ਼ਨ ਤੋਂ ਬਾਅਦ, ਡਰਾਪਰ ਪ੍ਰਾਇਮਰੀ ਪੇਲੋਡ ਲਈ ਡਿਲੀਵਰੀ ਵਿਧੀ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਇਹ ਕੋਰ ਕੰਪੋਨੈਂਟ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਇਕੱਠਾ ਕਰਨ ਅਤੇ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ—ਜਿਵੇਂ ਕਿ ਸੁਨੇਹੇ, ਸੂਚਨਾਵਾਂ, ਅਤੇ ਐਪਲੀਕੇਸ਼ਨ ਡਾਟਾ—ਇੱਕ ਫਾਇਰਬੇਸ ਰੀਅਲਟਾਈਮ ਡਾਟਾਬੇਸ ਵਿੱਚ।
ਇਸ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ, ਡਰਾਪਰ ਕਈ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਬਾਹਰੀ ਸਟੋਰੇਜ ਤੱਕ ਪਹੁੰਚ ਅਤੇ 8 ਅਤੇ ਨਵੇਂ ਵਰਜਨ 'ਤੇ ਚੱਲ ਰਹੇ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ 'ਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸਥਾਪਤ ਕਰਨ, ਅੱਪਡੇਟ ਕਰਨ ਜਾਂ ਹਟਾਉਣ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ।
ਫਾਇਰਸਕੈਮ ਦਾ ਖਾਸ ਤੌਰ 'ਤੇ ਸਬੰਧਤ ਪਹਿਲੂ ENFORCE_UPDATE_OWNERSHIP ਅਨੁਮਤੀ ਦਾ ਸ਼ੋਸ਼ਣ ਹੈ। ਇਹ ਐਂਡਰੌਇਡ ਵਿਸ਼ੇਸ਼ਤਾ ਇੱਕ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਅਸਲ ਇੰਸਟਾਲਰ ਨੂੰ ਇਸਦਾ 'ਅੱਪਡੇਟ ਮਾਲਕ' ਬਣਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਮਤਲਬ ਕਿ ਸਿਰਫ਼ ਮਨੋਨੀਤ ਮਾਲਕ ਹੀ ਅੱਪਡੇਟ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ। ਇਸ ਵਿਧੀ ਦਾ ਲਾਭ ਉਠਾ ਕੇ, ਫਾਇਰਸਕੈਮ ਹੋਰ ਸਰੋਤਾਂ ਤੋਂ ਜਾਇਜ਼ ਅੱਪਡੇਟਾਂ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ, ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਇਸਦੀ ਨਿਰੰਤਰ ਮੌਜੂਦਗੀ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਉੱਨਤ ਚੋਰੀ ਅਤੇ ਨਿਗਰਾਨੀ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ
ਫਾਇਰਸਕੈਮ ਖੋਜ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦਾ ਵਿਰੋਧ ਕਰਨ ਲਈ ਗੁੰਝਲਦਾਰ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਆਉਣ ਵਾਲੀਆਂ ਸੂਚਨਾਵਾਂ, ਸਕ੍ਰੀਨ ਸਥਿਤੀ ਵਿੱਚ ਤਬਦੀਲੀਆਂ, ਉਪਭੋਗਤਾ ਗਤੀਵਿਧੀ, ਕਲਿੱਪਬੋਰਡ ਸਮੱਗਰੀ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਔਨਲਾਈਨ ਲੈਣ-ਦੇਣ ਦੀ ਸਰਗਰਮੀ ਨਾਲ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ। ਧਮਕੀ ਇੱਕ ਰਿਮੋਟ ਸਰਵਰ ਤੋਂ ਚਿੱਤਰਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਪ੍ਰੋਸੈਸ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਇਸਦੀ ਨਿਗਰਾਨੀ ਸਮਰੱਥਾਵਾਂ ਵਿੱਚ ਇੱਕ ਹੋਰ ਪਰਤ ਜੋੜਦੀ ਹੈ।
ਜਦੋਂ ਲਾਂਚ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਠੱਗ ਟੈਲੀਗ੍ਰਾਮ ਪ੍ਰੀਮੀਅਮ ਐਪ ਉਪਭੋਗਤਾਵਾਂ ਦੇ ਸੰਪਰਕਾਂ, ਕਾਲ ਲੌਗਸ ਅਤੇ SMS ਸੁਨੇਹਿਆਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮੰਗਦਾ ਹੈ। ਇਹ ਫਿਰ ਇੱਕ ਲੌਗਇਨ ਪੰਨਾ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਵੈਬਵਿਊ ਦੁਆਰਾ ਅਧਿਕਾਰਤ ਟੈਲੀਗ੍ਰਾਮ ਵੈਬਸਾਈਟ ਨੂੰ ਪ੍ਰਤੀਬਿੰਬਤ ਕਰਦਾ ਹੈ, ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹਾਸਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਡੇਟਾ ਇਕੱਤਰ ਕਰਨ ਦੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦੀ ਹੈ ਭਾਵੇਂ ਉਪਭੋਗਤਾ ਆਪਣੇ ਲੌਗਇਨ ਵੇਰਵੇ ਦਾਖਲ ਨਹੀਂ ਕਰਦਾ ਹੈ।
ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣਾ
ਫਾਇਰਸਕੈਮ ਦੇ ਵਧੇਰੇ ਧੋਖੇਬਾਜ਼ ਫੰਕਸ਼ਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਫਾਇਰਬੇਸ ਕਲਾਉਡ ਮੈਸੇਜਿੰਗ (ਐਫਸੀਐਮ) ਸੂਚਨਾਵਾਂ ਲਈ ਰਜਿਸਟਰ ਕਰਨ ਦੀ ਯੋਗਤਾ ਹੈ। ਇਹ ਧਮਕੀ ਨੂੰ ਰਿਮੋਟ ਹਦਾਇਤਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਅਤੇ ਡਿਵਾਈਸ ਤੱਕ ਚੱਲ ਰਹੀ ਗੁਪਤ ਪਹੁੰਚ ਨੂੰ ਬਰਕਰਾਰ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਡਾਟਾ ਚੋਰੀ ਦੀ ਸਹੂਲਤ ਅਤੇ ਹੋਰ ਅਸੁਰੱਖਿਅਤ ਕਾਰਵਾਈਆਂ ਨੂੰ ਚਲਾਉਣ ਲਈ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ WebSocket ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।
ਹੋਰ ਨੁਕਸਾਨਦੇਹ ਹਿੱਸੇ ਅਤੇ ਜਵਾਬ ਨਾ ਦਿੱਤੇ ਸਵਾਲ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਫਿਸ਼ਿੰਗ ਡੋਮੇਨ 'ਤੇ ਹੋਸਟ ਕੀਤੇ ਇਕ ਹੋਰ ਹਾਨੀਕਾਰਕ ਆਰਟੀਫੈਕਟ ਦੀ ਵੀ ਪਛਾਣ ਕੀਤੀ, ਜਿਸ ਨੂੰ 'CDEK' ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਨਾਮ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਇੱਕ ਰੂਸੀ ਲੌਜਿਸਟਿਕਸ ਅਤੇ ਪੈਕੇਜ-ਟਰੈਕਿੰਗ ਸੇਵਾ ਦਾ ਹਵਾਲਾ ਦਿੰਦਾ ਹੈ, ਜੋ ਇਕੱਲੇ ਫਾਇਰਸਕੈਮ ਤੋਂ ਪਰੇ ਵਿਆਪਕ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ।
ਇਹ ਅਸਪਸ਼ਟ ਹੈ ਕਿ ਇਸ ਕਾਰਵਾਈ ਦੇ ਪਿੱਛੇ ਕੌਣ ਹੈ ਜਾਂ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇਹਨਾਂ ਫਿਸ਼ਿੰਗ ਲਿੰਕਾਂ ਵੱਲ ਕਿਵੇਂ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾ ਰਿਹਾ ਹੈ। ਸੰਭਾਵੀ ਰਣਨੀਤੀਆਂ ਵਿੱਚ SMS ਫਿਸ਼ਿੰਗ (ਮੁਸਕਰਾਹਟ) ਜਾਂ ਖਰਾਬ ਮੁਹਿੰਮਾਂ ਸ਼ਾਮਲ ਹੋ ਸਕਦੀਆਂ ਹਨ। RuStore ਵਰਗੀਆਂ ਜਾਇਜ਼ ਸੇਵਾਵਾਂ ਦੀ ਨਕਲ ਕਰਕੇ, ਇਹ ਧੋਖੇਬਾਜ਼ ਵੈੱਬਸਾਈਟਾਂ ਲੋਕਾਂ ਨੂੰ ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਮਨਾਉਣ ਲਈ ਉਪਭੋਗਤਾ ਦੇ ਭਰੋਸੇ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਦੀਆਂ ਹਨ।
ਫਾਇਰਸਕੈਮ ਦੀ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਅਤੇ ਨਿਗਰਾਨੀ ਕਰਨ ਦੀ ਯੋਗਤਾ ਫਿਸ਼ਿੰਗ-ਸੰਚਾਲਿਤ ਵੰਡ ਵਿਧੀਆਂ ਨਾਲ ਜੁੜੇ ਜੋਖਮਾਂ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ। ਇਹ ਕੇਸ ਐਂਡਰਾਇਡ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਿਆਂ ਤੋਂ ਬਚਾਉਣ ਵਿੱਚ ਚੱਲ ਰਹੀਆਂ ਚੁਣੌਤੀਆਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦਾ ਹੈ ਜੋ ਸੋਸ਼ਲ ਇੰਜਨੀਅਰਿੰਗ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ ਅਤੇ ਮਸ਼ਹੂਰ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਵਿਸ਼ਵਾਸ ਕਰਦੇ ਹਨ।
