ਨੇਕਰੋ ਟਰੋਜਨ
2019 ਵਿੱਚ, ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਪਰੇਸ਼ਾਨ ਕਰਨ ਵਾਲੀ ਸਮੱਸਿਆ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ: ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਇੱਕ ਜਾਇਜ਼ ਐਂਡਰੌਇਡ ਐਪਲੀਕੇਸ਼ਨ ਨਾਲ ਇੱਕ ਤੀਜੀ-ਧਿਰ ਦੀ ਲਾਇਬ੍ਰੇਰੀ ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ, ਜਿਸਦੀ ਵਰਤੋਂ ਵਿਕਾਸਕਰਤਾਵਾਂ ਦੁਆਰਾ ਵਿਗਿਆਪਨ ਆਮਦਨ ਪੈਦਾ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ। ਇਸ ਸੋਧ ਦੇ ਨਤੀਜੇ ਵਜੋਂ 100 ਮਿਲੀਅਨ ਡਿਵਾਈਸਾਂ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਸਰਵਰਾਂ ਨਾਲ ਕਨੈਕਟ ਹੋ ਗਈਆਂ, ਜਿਸ ਨੇ ਫਿਰ ਲੁਕਵੇਂ ਪੇਲੋਡਾਂ ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ।
ਅਜਿਹੀ ਹੀ ਸਥਿਤੀ ਹੁਣ ਮੁੜ ਸਾਹਮਣੇ ਆਈ ਹੈ। Infosec ਮਾਹਿਰਾਂ ਨੇ ਗੂਗਲ ਪਲੇ ਤੋਂ 11 ਮਿਲੀਅਨ ਵਾਰ ਡਾਊਨਲੋਡ ਕੀਤੀਆਂ ਦੋ ਨਵੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ ਇੱਕੋ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਦੁਆਰਾ ਸੰਕਰਮਿਤ ਹਨ। ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ ਵਿਗਿਆਪਨ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਨ ਲਈ ਵਰਤੀ ਜਾਂਦੀ ਇੱਕ ਅਸੁਰੱਖਿਅਤ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ ਇੱਕ ਵਾਰ ਫਿਰ ਦੋਸ਼ੀ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਇੱਕ SDK ਕੀ ਹੈ?
ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟਾਂ, ਜਾਂ SDK, ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਪੂਰਵ-ਨਿਰਮਿਤ ਫਰੇਮਵਰਕ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਨ ਜੋ ਰੁਟੀਨ ਕੰਮਾਂ ਨੂੰ ਸੰਭਾਲ ਕੇ ਐਪਲੀਕੇਸ਼ਨ ਬਣਾਉਣ ਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਸਰਲ ਅਤੇ ਤੇਜ਼ ਕਰਦੇ ਹਨ। ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਇੱਕ ਗੈਰ-ਪ੍ਰਮਾਣਿਤ SDK ਮੋਡੀਊਲ, ਜੋ ਕਿ ਵਿਗਿਆਪਨ ਡਿਸਪਲੇ ਨੂੰ ਸਮਰਥਨ ਦੇਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ, ਨੂੰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਜੋੜਿਆ ਗਿਆ ਸੀ। ਹਾਲਾਂਕਿ, ਸਤ੍ਹਾ ਦੇ ਹੇਠਾਂ, ਇਸਨੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਨਾਲ ਗੁਪਤ ਰੂਪ ਵਿੱਚ ਸੰਚਾਰ ਕਰਨ ਲਈ ਉੱਨਤ ਤਰੀਕਿਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਇਆ। ਇਸਨੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਡੇਟਾ ਅਪਲੋਡ ਕਰਨ ਅਤੇ ਹਾਨੀਕਾਰਕ ਕੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ, ਜਿਸ ਨੂੰ ਕਿਸੇ ਵੀ ਸਮੇਂ ਲਾਗੂ ਜਾਂ ਅਪਡੇਟ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਨੇਕਰੋ ਟਰੋਜਨ ਡਿਵਾਈਸਾਂ ਨੂੰ ਕਿਵੇਂ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹਨ?
ਦੋਵਾਂ ਮੁਹਿੰਮਾਂ ਦੇ ਪਿੱਛੇ ਮਾਲਵੇਅਰ ਪਰਿਵਾਰ ਨੂੰ ਨੇਕਰੋ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਅਤੇ ਇਸ ਸਥਿਤੀ ਵਿੱਚ, ਕੁਝ ਰੂਪਾਂ ਵਿੱਚ ਸਟੈਗਨੋਗ੍ਰਾਫੀ ਵਰਗੀਆਂ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ - ਮੋਬਾਈਲ ਖਤਰਿਆਂ ਵਿੱਚ ਇੱਕ ਦੁਰਲੱਭ ਗੁੰਝਲਦਾਰ ਵਿਧੀ। ਕੁਝ ਵੇਰੀਐਂਟ ਉੱਚਿਤ ਸਿਸਟਮ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਕੰਮ ਕਰਨ ਦੇ ਸਮਰੱਥ ਧੋਖਾਧੜੀ ਵਾਲੇ ਕੋਡ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਵਧੀਆ ਢੰਗਾਂ ਦੀ ਵੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਡਿਵਾਈਸ ਸੰਕਰਮਿਤ ਹੋ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਇਹ ਏਨਕ੍ਰਿਪਟਡ JSON ਡੇਟਾ ਭੇਜਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ ਅਤੇ ਧੋਖਾਧੜੀ ਵਾਲੇ ਮੋਡੀਊਲ ਦੀ ਮੇਜ਼ਬਾਨੀ ਕਰਨ ਵਾਲੀ ਐਪਲੀਕੇਸ਼ਨ ਬਾਰੇ ਵੇਰਵਿਆਂ ਦੀ ਰਿਪੋਰਟ ਕਰਦਾ ਹੈ।
ਸਰਵਰ ਫਿਰ ਇੱਕ JSON ਸੁਨੇਹੇ ਨਾਲ ਜਵਾਬ ਦਿੰਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ PNG ਚਿੱਤਰ ਦਾ ਲਿੰਕ ਅਤੇ ਚਿੱਤਰ ਦੀ ਹੈਸ਼ ਵਾਲਾ ਮੈਟਾਡੇਟਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ। ਜੇਕਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਮੋਡੀਊਲ ਹੈਸ਼ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ, ਤਾਂ ਇਹ ਚਿੱਤਰ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਦੱਸਿਆ ਕਿ SDK ਮੋਡੀਊਲ ਇੱਕ ਸਧਾਰਨ ਸਟੈਗਨੋਗ੍ਰਾਫਿਕ ਐਲਗੋਰਿਦਮ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। MD5 ਜਾਂਚ ਨੂੰ ਪਾਸ ਕਰਨ 'ਤੇ, ਇਹ ਸਟੈਂਡਰਡ ਐਂਡਰੌਇਡ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ, PNG ਫਾਈਲ ਦੀਆਂ ਸਮੱਗਰੀਆਂ, ਖਾਸ ਤੌਰ 'ਤੇ ARGB ਚੈਨਲਾਂ ਤੋਂ ਪਿਕਸਲ ਮੁੱਲਾਂ ਨੂੰ ਕੱਢਦਾ ਹੈ। getPixel ਵਿਧੀ ਇੱਕ ਮੁੱਲ ਪ੍ਰਾਪਤ ਕਰਦੀ ਹੈ ਜਿੱਥੇ ਸਭ ਤੋਂ ਘੱਟ ਮਹੱਤਵਪੂਰਨ ਬਾਈਟ ਵਿੱਚ ਚਿੱਤਰ ਦਾ ਨੀਲਾ ਚੈਨਲ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਅਤੇ ਮਾਲਵੇਅਰ ਉੱਥੋਂ ਆਪਣੀ ਪ੍ਰਕਿਰਿਆ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
ਨੇਕਰੋ ਟਰੋਜਨ ਗੰਭੀਰ ਨਤੀਜੇ ਲੈ ਸਕਦਾ ਹੈ
ਮਾਲਵੇਅਰ ਦੁਆਰਾ ਸਥਾਪਤ ਕੀਤੇ ਫਾਲੋ-ਆਨ ਪੇਲੋਡ ਧੋਖੇਬਾਜ਼ ਪਲੱਗਇਨ ਡਾਊਨਲੋਡ ਕਰਦੇ ਹਨ ਜੋ ਹਰੇਕ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਲਈ ਵੱਖ-ਵੱਖ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ ਅਨੁਕੂਲਿਤ ਕੀਤੇ ਜਾ ਸਕਦੇ ਹਨ। ਅਜਿਹਾ ਇੱਕ ਪਲੱਗਇਨ ਐਲੀਵੇਟਿਡ ਸਿਸਟਮ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨਾਲ ਕੋਡ ਨੂੰ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ। ਆਮ ਤੌਰ 'ਤੇ, Android ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਪ੍ਰਾਪਤ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ WebView ਦੀ ਵਰਤੋਂ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ—ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਅੰਦਰ ਵੈੱਬ ਪੰਨਿਆਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ ਇੱਕ ਭਾਗ। ਇਸ ਪਾਬੰਦੀ ਨੂੰ ਦੂਰ ਕਰਨ ਲਈ, ਨੇਕਰੋ ਵੈਬਵਿਊ ਫੈਕਟਰੀ ਦੀ ਇੱਕ ਵੱਖਰੀ ਮੌਜੂਦਗੀ ਬਣਾਉਣ ਲਈ ਇੱਕ ਰਿਫਲਿਕਸ਼ਨ ਅਟੈਕ ਵਜੋਂ ਜਾਣੀ ਜਾਂਦੀ ਇੱਕ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਪਲੱਗਇਨ ਹੋਰ ਫਾਈਲਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਐਗਜ਼ੀਕਿਊਟ ਕਰ ਸਕਦੀ ਹੈ ਜੋ WebView ਦੁਆਰਾ ਪ੍ਰਦਰਸ਼ਿਤ ਲਿੰਕਾਂ ਨੂੰ ਸੋਧਦੀਆਂ ਹਨ। ਐਲੀਵੇਟਿਡ ਸਿਸਟਮ ਅਧਿਕਾਰਾਂ ਦੇ ਨਾਲ, ਇਹ ਐਗਜ਼ੀਕਿਊਟੇਬਲ ਭੁਗਤਾਨ ਕੀਤੇ ਗਾਹਕੀਆਂ ਲਈ ਪੁਸ਼ਟੀਕਰਨ ਕੋਡ ਸ਼ਾਮਲ ਕਰਨ ਲਈ URL ਨੂੰ ਬਦਲ ਸਕਦੇ ਹਨ ਅਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਲਿੰਕਾਂ ਤੋਂ ਕੋਡ ਡਾਊਨਲੋਡ ਅਤੇ ਚਲਾ ਸਕਦੇ ਹਨ। ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਨੇਕਰੋ ਦੇ ਆਪਣੇ ਵਿਸ਼ਲੇਸ਼ਣ ਦੌਰਾਨ ਪੰਜ ਵੱਖਰੇ ਪੇਲੋਡਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਨੇਕਰੋ ਦੀ ਮਾਡਯੂਲਰ ਬਣਤਰ ਮਾਲਵੇਅਰ ਨੂੰ ਕੰਮ ਕਰਨ ਦੇ ਕਈ ਤਰੀਕੇ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।
ਨੇਕਰੋ ਟਰੋਜਨ ਦੋ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਪਾਇਆ ਗਿਆ ਸੀ
ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਗੂਗਲ ਪਲੇ 'ਤੇ ਦੋ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਨੇਕਰੋ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਉਨ੍ਹਾਂ ਵਿੱਚੋਂ ਇੱਕ, ਵੁਟਾ ਕੈਮਰਾ, ਨੇ 10 ਮਿਲੀਅਨ ਡਾਊਨਲੋਡ ਪ੍ਰਾਪਤ ਕੀਤੇ ਹਨ। Wuta ਕੈਮਰੇ ਦੇ 6.3.2.148 ਤੋਂ 6.3.6.148 ਤੱਕ ਦੇ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਲਾਗਾਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਖਤਰਨਾਕ SDK ਸ਼ਾਮਲ ਹੈ, ਪਰ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਹਾਨੀਕਾਰਕ ਹਿੱਸੇ ਨੂੰ ਖਤਮ ਕਰਨ ਲਈ ਅਪਡੇਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਇੱਕ ਹੋਰ ਐਪਲੀਕੇਸ਼ਨ, ਮੈਕਸ ਬ੍ਰਾਊਜ਼ਰ, ਲਗਭਗ 1 ਮਿਲੀਅਨ ਡਾਉਨਲੋਡਸ ਦੇ ਨਾਲ, ਵੀ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸੀ; ਹਾਲਾਂਕਿ, ਇਹ ਹੁਣ Google Play 'ਤੇ ਉਪਲਬਧ ਨਹੀਂ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਵਿਕਲਪਕ ਬਾਜ਼ਾਰਾਂ ਵਿੱਚ ਪੇਸ਼ ਕੀਤੇ ਗਏ ਐਂਡਰੌਇਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਸੀਮਾ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਵਾਲੇ ਨੇਕਰੋ ਦੀ ਖੋਜ ਕੀਤੀ। ਇਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਆਮ ਤੌਰ 'ਤੇ ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣਾਂ ਵਜੋਂ ਪੇਸ਼ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer ਅਤੇ Melon Sandbox ਸ਼ਾਮਲ ਹਨ।
