SafeChat ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ
ਹੈਕਰਾਂ ਨੂੰ ਸਪਾਈਵੇਅਰ ਮਾਲਵੇਅਰ ਨਾਲ ਡਿਵਾਈਸਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ 'ਸੇਫਚੈਟ' ਨਾਮਕ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਐਂਡਰਾਇਡ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਸ ਖਤਰਨਾਕ ਸੌਫਟਵੇਅਰ ਦਾ ਉਦੇਸ਼ ਫ਼ੋਨਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਚੋਰੀ ਕਰਨਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਕਾਲ ਲੌਗ, ਟੈਕਸਟ ਸੁਨੇਹੇ ਅਤੇ GPS ਸਥਾਨ ਸ਼ਾਮਲ ਹਨ।
ਐਂਡਰੌਇਡ ਸਪਾਈਵੇਅਰ ਨੂੰ ਬਦਨਾਮ 'ਕਵਰਲਮ' ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਰੂਪ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ, ਜੋ ਵੱਖ-ਵੱਖ ਸੰਚਾਰ ਐਪਾਂ ਤੋਂ ਡਾਟਾ ਚੋਰੀ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਲਈ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਟਾਰਗੇਟਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਟੈਲੀਗ੍ਰਾਮ, ਸਿਗਨਲ, ਵਟਸਐਪ, ਵਾਈਬਰ ਅਤੇ ਫੇਸਬੁੱਕ ਮੈਸੇਂਜਰ ਵਰਗੇ ਪ੍ਰਸਿੱਧ ਪਲੇਟਫਾਰਮ ਸ਼ਾਮਲ ਹਨ।
ਇਸ ਮੁਹਿੰਮ ਦੇ ਪਿੱਛੇ 'ਬਹਾਮੂਟ ' ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਭਾਰਤੀ ਏਪੀਟੀ ਹੈਕਿੰਗ ਸਮੂਹ ਦਾ ਹੱਥ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਉਹਨਾਂ ਦੀ ਪਛਾਣ ਹਾਲ ਹੀ ਦੇ ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਦੋਸ਼ੀਆਂ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਮੁੱਖ ਤੌਰ 'ਤੇ WhatsApp ਦੁਆਰਾ ਵੰਡੇ ਗਏ ਸਪੀਅਰ ਫਿਸ਼ਿੰਗ ਸੰਦੇਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ। ਇਹਨਾਂ ਸੁਨੇਹਿਆਂ ਵਿੱਚ ਧਮਕੀ ਭਰੇ ਪੇਲੋਡ ਹੁੰਦੇ ਹਨ, ਜੋ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਪੀੜਤਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਤੱਕ ਪਹੁੰਚਾਏ ਜਾਂਦੇ ਹਨ। ਇਸ ਬਹਾਮੁਟ ਮੁਹਿੰਮ ਦਾ ਮੁੱਖ ਨਿਸ਼ਾਨਾ ਦੱਖਣੀ ਏਸ਼ੀਆ ਵਿੱਚ ਸਥਿਤ ਉਪਭੋਗਤਾ ਹਨ।
SafeChat ਮਾਲਵੇਅਰ ਇੱਕ ਜਾਇਜ਼ ਮੈਸੇਜਿੰਗ ਐਪਲੀਕੇਸ਼ਨ ਵਜੋਂ ਮਾਸਕਰੇਡ ਕਰਦਾ ਹੈ
ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਵਰਤੀ ਜਾਣ ਵਾਲੀ ਇੱਕ ਆਮ ਚਾਲ ਹੈ ਪੀੜਤਾਂ ਨੂੰ ਇੱਕ ਚੈਟ ਐਪਲੀਕੇਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਨਾ ਅਤੇ ਮਨਾਉਣਾ, ਇਹ ਦਾਅਵਾ ਕਰਨਾ ਕਿ ਇਹ ਉਹਨਾਂ ਨੂੰ ਇੱਕ ਵਧੇਰੇ ਸੁਰੱਖਿਅਤ ਸੰਚਾਰ ਪਲੇਟਫਾਰਮ ਪ੍ਰਦਾਨ ਕਰੇਗਾ। infosec ਮਾਹਰਾਂ ਦੇ ਅਨੁਸਾਰ, ਸੁਰੱਖਿਅਤ ਚੈਟ ਦੇ ਰੂਪ ਵਿੱਚ ਸਪਾਈਵੇਅਰ ਇੱਕ ਧੋਖੇਬਾਜ਼ ਉਪਭੋਗਤਾ ਇੰਟਰਫੇਸ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ ਜੋ ਇੱਕ ਅਸਲੀ ਚੈਟ ਐਪ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਪੀੜਤ ਦੀ ਅਗਵਾਈ ਕਰਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਉਪਭੋਗਤਾ ਰਜਿਸਟ੍ਰੇਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਜਾਪਦੀ ਹੈ, ਭਰੋਸੇਯੋਗਤਾ ਜੋੜਦੀ ਹੈ ਅਤੇ ਸਪਾਈਵੇਅਰ ਦੀਆਂ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀਆਂ ਲਈ ਇੱਕ ਸੰਪੂਰਨ ਕਵਰ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ।
ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕਦਮ ਵਿੱਚ ਮਹੱਤਵਪੂਰਨ ਅਨੁਮਤੀਆਂ ਪ੍ਰਾਪਤ ਕਰਨਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿਵੇਂ ਕਿ ਪਹੁੰਚਯੋਗਤਾ ਸੇਵਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਯੋਗਤਾ। ਫਿਰ ਇਹਨਾਂ ਅਨੁਮਤੀਆਂ ਦੀ ਦੁਰਵਰਤੋਂ ਸਪਾਈਵੇਅਰ ਨੂੰ ਆਪਣੇ ਆਪ ਹੀ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਤੱਕ ਹੋਰ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਸਪਾਈਵੇਅਰ ਪੀੜਤ ਦੀ ਸੰਪਰਕ ਸੂਚੀ, SMS ਸੁਨੇਹਿਆਂ, ਕਾਲ ਲੌਗਸ, ਬਾਹਰੀ ਡਿਵਾਈਸ ਸਟੋਰੇਜ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਤੋਂ ਸਹੀ GPS ਸਥਾਨ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰ ਸਕਦਾ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਐਂਡਰੌਇਡ ਮੈਨੀਫੈਸਟ ਫਾਈਲ ਦੇ ਸਨਿੱਪਟ ਦੱਸਦੇ ਹਨ ਕਿ ਸਪਾਈਵੇਅਰ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰ ਨੇ ਇਸਨੂੰ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਕੀਤੀਆਂ ਹੋਰ ਚੈਟ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਹੈ। ਪਰਸਪਰ ਪ੍ਰਭਾਵ ਇਰਾਦੇ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਹੁੰਦਾ ਹੈ, ਅਤੇ OPEN_DOCUMENT_TREE ਅਨੁਮਤੀ ਸਪਾਈਵੇਅਰ ਨੂੰ ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਚੋਣ ਕਰਨ ਅਤੇ ਇਰਾਦੇ ਵਿੱਚ ਜ਼ਿਕਰ ਕੀਤੀਆਂ ਐਪਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ।
ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਤੋਂ ਇਕੱਠੇ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਬਾਹਰ ਕੱਢਣ ਲਈ, ਸਪਾਈਵੇਅਰ ਇੱਕ ਸਮਰਪਿਤ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਮੋਡੀਊਲ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਫਿਰ ਜਾਣਕਾਰੀ ਨੂੰ ਪੋਰਟ 2053 ਰਾਹੀਂ ਹਮਲਾਵਰ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ 'ਤੇ ਟ੍ਰਾਂਸਫਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਪ੍ਰਸਾਰਣ ਦੌਰਾਨ ਬਾਹਰ ਕੱਢੀ ਗਈ ਜਾਣਕਾਰੀ ਦੀ ਗੁਪਤਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ, ਸਪਾਈਵੇਅਰ ਇੱਕ ਹੋਰ ਮੋਡੀਊਲ ਦੁਆਰਾ ਸੁਵਿਧਾਜਨਕ ਐਨਕ੍ਰਿਪਸ਼ਨ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ ਜੋ RSA, ECB, ਅਤੇ OAEPPadding ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰ ਉਹਨਾਂ ਦੇ ਵਿਰੁੱਧ ਕੀਤੇ ਗਏ ਨੈਟਵਰਕ ਡੇਟਾ ਦੇ ਕਿਸੇ ਵੀ ਰੁਕਾਵਟ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ "ਇੰਨਕ੍ਰਿਪਟ ਕਰਨ ਦਿਓ" ਸਰਟੀਫਿਕੇਟ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਹੋਰ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸਮੂਹਾਂ ਨਾਲ ਕਨੈਕਸ਼ਨ
SafeChat ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਵਿੱਚ, ਕਈ ਰਣਨੀਤੀਆਂ, ਤਕਨੀਕਾਂ, ਅਤੇ ਪ੍ਰਕਿਰਿਆਵਾਂ (TTPs) ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ 'DoNot APT' (APT-C-35) ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਹੋਰ ਭਾਰਤੀ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਧਮਕੀ ਸਮੂਹ ਨਾਲ ਇੱਕ ਸ਼ਾਨਦਾਰ ਸਮਾਨਤਾ ਰੱਖਦੇ ਹਨ। ਖਾਸ ਤੌਰ 'ਤੇ, 'DoNot APT' ਪਹਿਲਾਂ ਗੂਗਲ ਪਲੇ ਨੂੰ ਜਾਅਲੀ ਚੈਟ ਐਪਸ ਨਾਲ ਘੁਸਪੈਠ ਕਰਨ ਵਿੱਚ ਸ਼ਾਮਲ ਰਿਹਾ ਹੈ ਜੋ ਸਪਾਈਵੇਅਰ ਵਜੋਂ ਕੰਮ ਕਰਦੇ ਹਨ। ਦੋ ਹੈਕਰ ਸਮੂਹਾਂ ਵਿਚਕਾਰ ਸਮਾਨਤਾਵਾਂ ਵਿੱਚ ਇੱਕੋ ਸਰਟੀਫਿਕੇਟ ਅਥਾਰਟੀ ਦੀ ਵਰਤੋਂ, ਸਮਾਨ ਡੇਟਾ-ਚੋਰੀ ਵਿਧੀਆਂ, ਇੱਕ ਸਾਂਝਾ ਟਾਰਗੇਟਿੰਗ ਸਕੋਪ, ਅਤੇ ਉਹਨਾਂ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ Android ਐਪਸ ਦੀ ਵਰਤੋਂ ਸ਼ਾਮਲ ਹੈ।
ਇਹ ਦੇਖੇ ਗਏ ਸਮਾਨਤਾਵਾਂ ਦੋ ਖਤਰੇ ਸਮੂਹਾਂ ਵਿਚਕਾਰ ਸੰਭਾਵੀ ਓਵਰਲੈਪ ਜਾਂ ਨਜ਼ਦੀਕੀ ਸਹਿਯੋਗ ਦਾ ਜ਼ੋਰਦਾਰ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਡੇਟਾ-ਚੋਰੀ ਤਕਨੀਕਾਂ ਵਿੱਚ ਸਮਾਨਤਾ ਅਤੇ ਸਾਂਝਾ ਨਿਸ਼ਾਨਾ ਫੋਕਸ ਉਹਨਾਂ ਦੇ ਹਮਲਿਆਂ ਵਿੱਚ ਇੱਕ ਸਾਂਝੇ ਟੀਚੇ ਜਾਂ ਉਦੇਸ਼ ਨੂੰ ਦਰਸਾ ਸਕਦਾ ਹੈ।
ਇਹ ਤੱਥ ਕਿ ਦੋਵਾਂ ਸਮੂਹਾਂ ਨੇ ਘੁਸਪੈਠ ਦੇ ਸਾਧਨ ਵਜੋਂ ਐਂਡਰੌਇਡ ਐਪਸ ਨੂੰ ਨਿਯੁਕਤ ਕੀਤਾ ਹੈ, ਸੰਭਵ ਸਹਿਯੋਗ ਜਾਂ ਗਿਆਨ ਸਾਂਝਾ ਕਰਨ ਦੀ ਧਾਰਨਾ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ। ਸਹਿਯੋਗ ਦੇ ਇਹਨਾਂ ਸੰਕੇਤਾਂ ਨੂੰ ਗੰਭੀਰਤਾ ਨਾਲ ਲੈਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਇਹ ਇਹਨਾਂ ਰਾਜ-ਪ੍ਰਾਯੋਜਿਤ ਸਮੂਹਾਂ ਦੁਆਰਾ ਸ਼ੁਰੂ ਕੀਤੇ ਗਏ ਹਮਲਿਆਂ ਦੀ ਸੂਝ ਅਤੇ ਜਟਿਲਤਾ ਵਿੱਚ ਸੰਭਾਵੀ ਵਾਧੇ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।
