SMS ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ ਦੇ ਉਦੇਸ਼ ਨਾਲ ਇੱਕ ਗਲੋਬਲ ਸਾਈਬਰ ਅਟੈਕ SMS-ਚੋਰੀ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਣ ਅਤੇ 600 ਤੋਂ ਵੱਧ ਸੇਵਾਵਾਂ ਲਈ ਵਨ-ਟਾਈਮ 2FA ਪਾਸਵਰਡ (OTPs) ਕੈਪਚਰ ਕਰਨ ਲਈ ਹਜ਼ਾਰਾਂ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਸ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ। ਖੋਜਕਰਤਾ ਫਰਵਰੀ 2022 ਤੋਂ ਇਸ ਕਾਰਵਾਈ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ ਅਤੇ ਉਨ੍ਹਾਂ ਨੇ ਮੁਹਿੰਮ ਨਾਲ ਜੁੜੇ ਘੱਟੋ-ਘੱਟ 107,000 ਵਿਲੱਖਣ ਮਾਲਵੇਅਰ ਨਮੂਨਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ। ਹਮਲਾਵਰ ਵਿੱਤੀ ਪ੍ਰੋਤਸਾਹਨ ਦੁਆਰਾ ਚਲਾਏ ਜਾਪਦੇ ਹਨ, ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਪ੍ਰਮਾਣਿਕਤਾ ਦੀ ਸਹੂਲਤ ਲਈ ਅਤੇ ਗੁਮਨਾਮਤਾ ਨੂੰ ਵਧਾਉਣ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਕਰਣਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਹਜ਼ਾਰਾਂ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਸ SMS ਚੋਰੀ ਕਰਨ ਵਾਲੇ ਮਾਲਵੇਅਰ ਨੂੰ ਫੈਲਾਉਂਦੇ ਹਨ

ਐਸਐਮਐਸ ਚੋਰੀ ਕਰਨ ਵਾਲਾ ਮਾਲਵੇਅਰ ਦੋ ਮੁੱਖ ਤਰੀਕਿਆਂ ਰਾਹੀਂ ਫੈਲਦਾ ਹੈ: ਮਾਲਵਰਟਾਈਜ਼ਿੰਗ ਅਤੇ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟ ਜੋ ਪੀੜਤਾਂ ਨਾਲ ਸੰਚਾਰ ਨੂੰ ਸਵੈਚਾਲਤ ਕਰਦੇ ਹਨ।

ਪਹਿਲੀ ਵਿਧੀ ਵਿੱਚ, ਪੀੜਤਾਂ ਨੂੰ ਜਾਅਲੀ Google Play ਪੰਨਿਆਂ 'ਤੇ ਨਿਰਦੇਸ਼ਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਅਤੇ ਪੀੜਤ ਦਾ ਭਰੋਸਾ ਹਾਸਲ ਕਰਨ ਲਈ ਵਧੇ ਹੋਏ ਡਾਊਨਲੋਡ ਨੰਬਰਾਂ ਨੂੰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦੇ ਹਨ।

ਟੈਲੀਗ੍ਰਾਮ 'ਤੇ, ਬੋਟ ਪਾਈਰੇਟਿਡ ਐਂਡਰਾਇਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੇ ਹਨ ਅਤੇ ਏਪੀਕੇ ਫਾਈਲ ਪ੍ਰਦਾਨ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਪੀੜਤ ਦੇ ਫੋਨ ਨੰਬਰ ਦੀ ਬੇਨਤੀ ਕਰਦੇ ਹਨ। ਇਹ ਨੰਬਰ ਬੋਟ ਦੁਆਰਾ ਇੱਕ ਅਨੁਕੂਲਿਤ ਏਪੀਕੇ ਬਣਾਉਣ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ, ਵਿਅਕਤੀਗਤ ਟਰੈਕਿੰਗ ਜਾਂ ਭਵਿੱਖ ਦੇ ਹਮਲਿਆਂ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ।

ਇਹ ਓਪਰੇਸ਼ਨ ਵੱਖ-ਵੱਖ Android ਏਪੀਕੇ ਵੰਡਣ ਲਈ ਲਗਭਗ 2,600 ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਾਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ, ਸਾਰੇ 13 ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰਾਂ ਦੁਆਰਾ ਪ੍ਰਬੰਧਿਤ ਕੀਤੇ ਜਾਂਦੇ ਹਨ। ਪ੍ਰਭਾਵਿਤ ਵਿਅਕਤੀਆਂ ਦੀ ਬਹੁਗਿਣਤੀ ਭਾਰਤ ਅਤੇ ਰੂਸ ਵਿੱਚ ਹੈ, ਹਾਲਾਂਕਿ ਬ੍ਰਾਜ਼ੀਲ, ਮੈਕਸੀਕੋ ਅਤੇ ਸੰਯੁਕਤ ਰਾਜ ਵਿੱਚ ਵੀ ਮਹੱਤਵਪੂਰਨ ਸੰਖਿਆਵਾਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ ਗਈ ਹੈ।

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰ ਪੀੜਤਾਂ ਤੋਂ ਫੰਡ ਕਿਵੇਂ ਪੈਦਾ ਕਰਦੇ ਹਨ

ਮਾਲਵੇਅਰ ਇੰਟਰਸੈਪਟ ਕੀਤੇ SMS ਸੁਨੇਹਿਆਂ ਨੂੰ 'fastsms.su' ਵੈੱਬਸਾਈਟ 'ਤੇ API ਐਂਡਪੁਆਇੰਟ 'ਤੇ ਭੇਜਦਾ ਹੈ। ਇਹ ਸਾਈਟ ਵੱਖ-ਵੱਖ ਦੇਸ਼ਾਂ ਦੇ 'ਵਰਚੁਅਲ' ਫ਼ੋਨ ਨੰਬਰਾਂ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੀ ਹੈ, ਜੋ ਉਪਭੋਗਤਾ ਗੁਮਨਾਮੀ ਲਈ ਅਤੇ ਔਨਲਾਈਨ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਪ੍ਰਮਾਣਿਤ ਕਰਨ ਲਈ ਖਰੀਦ ਸਕਦੇ ਹਨ। ਇਹ ਬਹੁਤ ਸੰਭਾਵਨਾ ਹੈ ਕਿ ਇਸ ਸੇਵਾ ਦੁਆਰਾ ਪੀੜਤਾਂ ਦੀ ਜਾਣਕਾਰੀ ਤੋਂ ਬਿਨਾਂ ਸਮਝੌਤਾ ਕੀਤੇ ਉਪਕਰਣਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾ ਰਹੀ ਹੈ। ਮਾਲਵੇਅਰ ਖਾਤਾ ਰਜਿਸਟ੍ਰੇਸ਼ਨਾਂ ਅਤੇ ਦੋ-ਕਾਰਕ ਪ੍ਰਮਾਣਿਕਤਾ ਲਈ ਲੋੜੀਂਦੇ OTP ਨੂੰ ਕੈਪਚਰ ਕਰਨ ਲਈ Android ਡਿਵਾਈਸਾਂ 'ਤੇ ਇਸ ਨੂੰ ਦਿੱਤੀ ਗਈ SMS ਪਹੁੰਚ ਅਨੁਮਤੀਆਂ ਦਾ ਲਾਭ ਉਠਾਉਂਦਾ ਹੈ।

ਪੀੜਤਾਂ ਲਈ, ਇਸਦੇ ਨਤੀਜੇ ਵਜੋਂ ਉਹਨਾਂ ਦੇ ਮੋਬਾਈਲ ਖਾਤਿਆਂ 'ਤੇ ਅਣਅਧਿਕਾਰਤ ਖਰਚੇ ਹੋ ਸਕਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦੇ ਡਿਵਾਈਸ ਅਤੇ ਫ਼ੋਨ ਨੰਬਰ 'ਤੇ ਗੈਰ-ਕਾਨੂੰਨੀ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸੰਭਾਵੀ ਸ਼ਮੂਲੀਅਤ ਹੋ ਸਕਦੀ ਹੈ। ਫ਼ੋਨ ਨੰਬਰ ਦੀ ਦੁਰਵਰਤੋਂ ਤੋਂ ਬਚਾਉਣ ਲਈ, Google Play ਤੋਂ ਬਾਹਰਲੇ ਸਰੋਤਾਂ ਤੋਂ APK ਫ਼ਾਈਲਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਤੋਂ ਬਚੋ, ਗੈਰ-ਸੰਬੰਧਿਤ ਫੰਕਸ਼ਨਾਂ ਵਾਲੀਆਂ ਐਪਾਂ ਨੂੰ ਬੇਲੋੜੀਆਂ ਇਜਾਜ਼ਤਾਂ ਦੇਣ ਤੋਂ ਬਚੋ, ਅਤੇ ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੀ ਡੀਵਾਈਸ 'ਤੇ Play Protect ਚਾਲੂ ਹੈ।

ਐਸਐਮਐਸ ਸਟੀਲਰ ਓਪਰੇਸ਼ਨ ਦਾ ਹਮਲਾ ਪ੍ਰਵਾਹ

ਪੀੜਤ ਨੂੰ ਗੁੰਮਰਾਹਕੁੰਨ ਇਸ਼ਤਿਹਾਰਾਂ ਰਾਹੀਂ ਧੋਖਾਧੜੀ ਵਾਲੀ ਐਪਲੀਕੇਸ਼ਨ ਸਥਾਪਤ ਕਰਨ ਦਾ ਲਾਲਚ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਐਪ ਸਟੋਰਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ ਜਾਂ ਸਵੈਚਲਿਤ ਟੈਲੀਗ੍ਰਾਮ ਬੋਟਸ ਦੁਆਰਾ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਟੀਚੇ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਦੇ ਹਨ (ਹੇਠਾਂ ਵੇਰਵੇ)।

ਅਨੁਮਤੀ ਦੀਆਂ ਬੇਨਤੀਆਂ - ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ

ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਧੋਖਾਧੜੀ ਵਾਲੀ ਐਪਲੀਕੇਸ਼ਨ SMS ਰੀਡ ਅਨੁਮਤੀਆਂ ਦੀ ਬੇਨਤੀ ਕਰਦੀ ਹੈ, Android 'ਤੇ ਇੱਕ ਉੱਚ-ਜੋਖਮ ਵਾਲੀ ਵਿਸ਼ੇਸ਼ਤਾ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਨਿੱਜੀ ਡੇਟਾ ਤੱਕ ਪਹੁੰਚ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ। ਹਾਲਾਂਕਿ ਜਾਇਜ਼ ਐਪਾਂ ਨੂੰ ਖਾਸ ਫੰਕਸ਼ਨਾਂ ਲਈ SMS ਅਨੁਮਤੀਆਂ ਦੀ ਲੋੜ ਹੋ ਸਕਦੀ ਹੈ, ਇਸ ਐਪ ਦੀ ਬੇਨਤੀ ਪੀੜਤ ਦੇ ਨਿੱਜੀ ਟੈਕਸਟ ਸੁਨੇਹਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੀ ਗਈ ਹੈ।

ਕਮਾਂਡ ਅਤੇ ਨਿਯੰਤਰਣ ਸਰਵਰ ਪ੍ਰਾਪਤੀ - ਮਾਸਟਰ ਨਾਲ ਸੰਪਰਕ ਕਰਨਾ

ਧਮਕੀ ਫਿਰ ਇਸਦੇ ਕਮਾਂਡ ਐਂਡ ਕੰਟਰੋਲ (ਸੀ ਐਂਡ ਸੀ) ਸਰਵਰ ਨਾਲ ਜੁੜ ਜਾਂਦੀ ਹੈ, ਜੋ ਇਸਦੇ ਸੰਚਾਲਨ ਨੂੰ ਨਿਰਦੇਸ਼ਿਤ ਕਰਦਾ ਹੈ ਅਤੇ ਇਕੱਤਰ ਕੀਤੇ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰਦਾ ਹੈ। ਸ਼ੁਰੂ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਨੇ C&C ਸਰਵਰ ਐਡਰੈੱਸ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਫਾਇਰਬੇਸ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਪਰ ਉਸ ਤੋਂ ਬਾਅਦ Github ਰਿਪੋਜ਼ਟਰੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਜਾਂ ਐਡਰੈੱਸ ਨੂੰ ਸਿੱਧੇ ਐਪ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕਰਨ ਲਈ ਵਿਕਸਿਤ ਹੋਇਆ ਹੈ।

C&C ਸੰਚਾਰ - ਡੇਟਾ ਵਿੱਚ ਰਿਪੋਰਟਿੰਗ ਅਤੇ ਅੱਪਲੋਡ ਕਰਨਾ

C&C ਸਰਵਰ ਪਤੇ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਇਸ ਨਾਲ ਇੱਕ ਕੁਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦੀ ਹੈ। ਇਹ ਦੋ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦਾ ਹੈ: 1) ਮਾਲਵੇਅਰ ਸਰਵਰ ਨੂੰ ਆਪਣੀ ਕਿਰਿਆਸ਼ੀਲ ਸਥਿਤੀ ਬਾਰੇ ਸੂਚਿਤ ਕਰਦਾ ਹੈ, ਅਤੇ 2) ਇਹ ਕੀਮਤੀ OTP ਕੋਡਾਂ ਸਮੇਤ, ਚੋਰੀ ਕੀਤੇ SMS ਸੁਨੇਹੇ ਭੇਜਣ ਲਈ ਇੱਕ ਚੈਨਲ ਬਣਾਉਂਦਾ ਹੈ।

OTP ਹਾਰਵੈਸਟਿੰਗ - ਗੁਪਤ ਕੁਲੈਕਟਰ

ਅੰਤਮ ਪੜਾਅ ਵਿੱਚ, ਮਾਲਵੇਅਰ ਆਉਣ ਵਾਲੇ SMS ਸੁਨੇਹਿਆਂ ਦੀ ਚੁੱਪਚਾਪ ਨਿਗਰਾਨੀ ਕਰਦਾ ਹੈ, ਅਣਪਛਾਤੇ ਰਹਿੰਦਿਆਂ ਔਨਲਾਈਨ ਖਾਤਾ ਤਸਦੀਕ ਲਈ ਵਰਤੇ ਜਾਂਦੇ OTPs ਨੂੰ ਰੋਕਣ 'ਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਤ ਕਰਦਾ ਹੈ।