SpinOk ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਸਪਾਈਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਨਾਲ ਲੈਸ ਐਂਡਰੌਇਡ ਡਿਵਾਈਸਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਇੱਕ ਖਤਰਨਾਕ ਸਾਫਟਵੇਅਰ ਮਾਡਿਊਲ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਸ ਮੋਡੀਊਲ ਨੂੰ SpinOk ਦੇ ਤੌਰ 'ਤੇ ਟ੍ਰੈਕ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਅਤੇ ਪ੍ਰਭਾਵਿਤ ਡਿਵਾਈਸਾਂ 'ਤੇ ਸਟੋਰ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਨਾਲ ਸਬੰਧਤ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਨੂੰ ਇਕੱਠਾ ਕਰਕੇ ਕੰਮ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸ ਜਾਣਕਾਰੀ ਨੂੰ ਬੁਰਾਈ ਸੋਚ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਤੱਕ ਪਹੁੰਚਾਉਣ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਡਿਵਾਈਸ ਦੇ ਕਲਿੱਪਬੋਰਡ 'ਤੇ ਕਾਪੀ ਕੀਤੀ ਸਮੱਗਰੀ ਨੂੰ ਬਦਲ ਅਤੇ ਅੱਪਲੋਡ ਕਰ ਸਕਦਾ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਹਮਲਾਵਰਾਂ ਦੁਆਰਾ ਨਿਯੰਤਰਿਤ ਰਿਮੋਟ ਸਰਵਰ 'ਤੇ ਅੱਗੇ ਭੇਜ ਸਕਦਾ ਹੈ।
ਸਪਿਨਓਕ ਮਾਲਵੇਅਰ ਨੂੰ ਇੱਕ ਮਾਰਕੀਟਿੰਗ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ (SDK) ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਵਿੱਚ ਲਿਆ ਗਿਆ ਹੈ। ਇਸ ਤਰ੍ਹਾਂ, ਇਸ ਨੂੰ ਡਿਵੈਲਪਰਾਂ ਦੁਆਰਾ ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਆਸਾਨੀ ਨਾਲ ਪਹੁੰਚਯੋਗ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਤੇ ਗੇਮਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ। ਇਹ ਵੰਡ ਵਿਧੀ ਸਪਾਈਵੇਅਰ-ਸੰਕਰਮਿਤ ਮੋਡੀਊਲ ਨੂੰ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਐਂਡਰੌਇਡ ਸੌਫਟਵੇਅਰ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਜੋ ਉਪਭੋਗਤਾ ਦੀ ਗੋਪਨੀਯਤਾ ਅਤੇ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਹੈ। ਦਰਅਸਲ, infosec ਮਾਹਰਾਂ ਦੇ ਅਨੁਸਾਰ, SpinOk- ਸੰਕਰਮਿਤ ਐਂਡਰਾਇਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ 421 ਮਿਲੀਅਨ ਤੋਂ ਵੱਧ ਵਾਰ ਡਾਊਨਲੋਡ ਅਤੇ ਇੰਸਟਾਲ ਕੀਤਾ ਗਿਆ ਹੈ।
ਸਪਿਨਓਕ ਮਾਲਵੇਅਰ ਨੂੰ ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਕਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਇੰਜੈਕਟ ਕੀਤਾ ਗਿਆ ਸੀ
SpinOk ਟਰੋਜਨ ਮੋਡੀਊਲ, ਇਸਦੇ ਕਈ ਰੂਪਾਂ ਦੇ ਨਾਲ, ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਦੁਆਰਾ ਵੰਡੀਆਂ ਗਈਆਂ ਕਈ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਪਛਾਣਿਆ ਗਿਆ ਹੈ। ਹਾਲਾਂਕਿ ਇਹਨਾਂ ਵਿੱਚੋਂ ਕੁਝ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਅਜੇ ਵੀ ਸਮਝੌਤਾ ਕੀਤਾ ਗਿਆ ਸਾਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ (SDK) ਹੈ, ਦੂਜਿਆਂ ਵਿੱਚ ਇਹ ਖਾਸ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਮੌਜੂਦ ਸੀ ਜਾਂ ਸਟੋਰ ਤੋਂ ਪੂਰੀ ਤਰ੍ਹਾਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਪਤਾ ਲੱਗਾ ਹੈ ਕਿ ਇਹ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਕੁੱਲ 101 ਵੱਖ-ਵੱਖ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਮੌਜੂਦ ਹੈ, ਜਿਨ੍ਹਾਂ ਨੇ ਸਮੂਹਿਕ ਤੌਰ 'ਤੇ 421,000,000 ਤੋਂ ਵੱਧ ਡਾਊਨਲੋਡ ਕੀਤੇ ਹਨ। ਨਤੀਜੇ ਵਜੋਂ, ਲੱਖਾਂ ਦੀ ਮਾਤਰਾ ਵਿੱਚ, Android ਡਿਵਾਈਸ ਦੇ ਮਾਲਕਾਂ ਦੀ ਇੱਕ ਵੱਡੀ ਗਿਣਤੀ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਦਾ ਸ਼ਿਕਾਰ ਹੋਣ ਦੇ ਜੋਖਮ ਵਿੱਚ ਹਨ।
ਸਪਿਨਓਕ ਸਪਾਈਵੇਅਰ ਨੂੰ ਸਭ ਤੋਂ ਵੱਧ ਡਾਉਨਲੋਡਸ ਨਾਲ ਲਿਜਾਣ ਲਈ ਪਾਈਆਂ ਗਈਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਘੱਟੋ-ਘੱਟ 100 ਮਿਲੀਅਨ ਸਥਾਪਨਾਵਾਂ ਵਾਲਾ ਇੱਕ ਵੀਡੀਓ ਸੰਪਾਦਕ Noizz।
- ਇੱਕ ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਅਤੇ ਸ਼ੇਅਰ ਐਪਲੀਕੇਸ਼ਨ, Zapya, ਹੋਰ 100 ਮਿਲੀਅਨ ਸਥਾਪਨਾਵਾਂ ਦੇ ਨਾਲ।
- VFly (ਵੀਡੀਓ ਐਡੀਟਰ ਅਤੇ ਮੇਕਰ), MVBit (MV ਵੀਡੀਓ ਸਟੇਟਸ ਮੇਕਰ), ਅਤੇ Biudo (ਵੀਡੀਓ ਐਡੀਟਰ ਅਤੇ ਮੇਕਰ) ਹਰੇਕ ਦੀ ਘੱਟੋ-ਘੱਟ 50 ਮਿਲੀਅਨ ਸਥਾਪਨਾਵਾਂ ਹਨ।
ਇਹ ਦੱਸਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਸਪਿਨਓਕ ਮਾਲਵੇਅਰ ਜ਼ੈਪਿਆ ਦੇ ਕਈ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਮੌਜੂਦ ਸੀ ਪਰ ਐਪਲੀਕੇਸ਼ਨ ਦੇ 6.4.1 ਸੰਸਕਰਣ ਨਾਲ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ।
ਇਹਨਾਂ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਅੰਦਰ ਇਸ ਟਰੋਜਨ ਮੋਡੀਊਲ ਦੀ ਮੌਜੂਦਗੀ ਉਪਭੋਗਤਾਵਾਂ ਦੀ ਗੋਪਨੀਯਤਾ ਅਤੇ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਹੈ। ਇਹਨਾਂ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ ਜੁੜੇ ਸੰਭਾਵੀ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣ ਲਈ ਤੁਰੰਤ ਕਾਰਵਾਈ ਦੀ ਲੋੜ ਹੈ।
ਸਪਿਨਓਕ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਉਪਯੋਗੀ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੀ ਆੜ ਵਿੱਚ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਇਕੱਤਰ ਕਰਦਾ ਹੈ
ਸਪਿਨਓਕ ਮੋਡੀਊਲ ਆਪਣੇ ਆਪ ਨੂੰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਅੰਦਰ ਇੱਕ ਆਕਰਸ਼ਕ ਸਾਧਨ ਵਜੋਂ ਪੇਸ਼ ਕਰਦਾ ਹੈ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਮਿੰਨੀ-ਗੇਮਾਂ, ਟਾਸਕ ਪ੍ਰਣਾਲੀਆਂ, ਅਤੇ ਇਨਾਮਾਂ ਅਤੇ ਇਨਾਮਾਂ ਦਾ ਲੁਭਾਉਣ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਸਰਗਰਮ ਹੋਣ 'ਤੇ, ਇਹ ਟਰੋਜਨ ਸੌਫਟਵੇਅਰ ਡਿਵੈਲਪਮੈਂਟ ਕਿੱਟ (SDK) ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸਰਵਰ ਨਾਲ ਇੱਕ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦੀ ਹੈ ਅਤੇ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਬਾਰੇ ਤਕਨੀਕੀ ਵੇਰਵਿਆਂ ਦਾ ਇੱਕ ਵਿਆਪਕ ਸੈੱਟ ਪ੍ਰਸਾਰਿਤ ਕਰਦੀ ਹੈ। ਇਹਨਾਂ ਵੇਰਵਿਆਂ ਵਿੱਚ ਜਾਇਰੋਸਕੋਪ ਅਤੇ ਮੈਗਨੇਟੋਮੀਟਰ ਵਰਗੇ ਹਿੱਸਿਆਂ ਤੋਂ ਸੈਂਸਰ ਡੇਟਾ ਸ਼ਾਮਲ ਹੁੰਦਾ ਹੈ, ਜਿਸਦੀ ਵਰਤੋਂ ਇਮੂਲੇਟਰ ਵਾਤਾਵਰਣ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਮੋਡੀਊਲ ਦੇ ਵਿਵਹਾਰ ਨੂੰ ਅਨੁਕੂਲ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਦੌਰਾਨ ਇਸਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਹੋਰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ, ਟਰੋਜਨ ਮੋਡੀਊਲ ਡਿਵਾਈਸ ਪ੍ਰੌਕਸੀ ਸੈਟਿੰਗਾਂ ਦੀ ਅਣਦੇਖੀ ਕਰਦਾ ਹੈ, ਇਸ ਨੂੰ ਨੈਟਵਰਕ ਕਨੈਕਸ਼ਨਾਂ ਨੂੰ ਛੁਪਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
C&C ਸਰਵਰ ਨਾਲ ਇਸ ਦੇ ਸੰਚਾਰ ਦੁਆਰਾ, ਮੋਡੀਊਲ ਨੂੰ URLs ਦੀ ਇੱਕ ਸੂਚੀ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ, ਜਿਸਨੂੰ ਇਹ ਫਿਰ ਵਿਗਿਆਪਨ ਬੈਨਰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ ਲਈ WebView ਵਿੱਚ ਲੋਡ ਕਰਦਾ ਹੈ। ਇਸਦੇ ਨਾਲ ਹੀ, ਇਹ ਟਰੋਜਨ SDK ਇਹਨਾਂ ਲੋਡ ਕੀਤੇ ਵੈੱਬ ਪੰਨਿਆਂ ਦੇ ਅੰਦਰ ਚਲਾਏ ਗਏ ਇੱਕ ਖਰਾਬ JavaScript ਕੋਡ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਵਧਾਉਂਦਾ ਹੈ, ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਦੀ ਇੱਕ ਸੀਮਾ ਨੂੰ ਪੇਸ਼ ਕਰਦਾ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਨਿਸ਼ਚਿਤ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸੈਸ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ ਦੀ ਯੋਗਤਾ, ਡਿਵਾਈਸ ਉੱਤੇ ਖਾਸ ਫਾਈਲਾਂ ਜਾਂ ਡਾਇਰੈਕਟਰੀਆਂ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਜਾਂਚ ਕਰਨ, ਡਿਵਾਈਸ ਤੋਂ ਫਾਈਲਾਂ ਨੂੰ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ, ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਦੀ ਸਮੱਗਰੀ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਯੋਗਤਾ ਸ਼ਾਮਲ ਹੈ।
ਇਹ ਜੋੜੀਆਂ ਗਈਆਂ ਸਮਰੱਥਾਵਾਂ ਟਰੋਜਨ ਮੋਡੀਊਲ ਦੇ ਆਪਰੇਟਰਾਂ ਨੂੰ ਉਪਭੋਗਤਾ ਦੇ ਡਿਵਾਈਸ ਤੋਂ ਗੁਪਤ ਜਾਣਕਾਰੀ ਅਤੇ ਫਾਈਲਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ। ਉਦਾਹਰਨ ਲਈ, ਸਪਿਨਓਕ ਟਰੋਜਨ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਉਹਨਾਂ ਤੱਕ ਪਹੁੰਚਯੋਗ ਫਾਈਲਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਲਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਹਮਲਾਵਰ ਇਸ਼ਤਿਹਾਰ ਬੈਨਰਾਂ ਦੇ HTML ਪੰਨਿਆਂ ਵਿੱਚ ਲੋੜੀਂਦਾ ਕੋਡ ਪਾ ਕੇ ਇਸਨੂੰ ਪੂਰਾ ਕਰਦੇ ਹਨ, ਉਹਨਾਂ ਨੂੰ ਅਣਜਾਣੇ ਉਪਭੋਗਤਾਵਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਅਤੇ ਫਾਈਲਾਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦੇ ਹਨ।
