நெக்ரோ ட்ரோஜன்
2019 ஆம் ஆண்டில், இணைய பாதுகாப்பு ஆராய்ச்சியாளர்கள் ஒரு சிக்கலான சிக்கலைக் கண்டுபிடித்தனர்: Google Play Store இல் உள்ள ஒரு நியாயமான Android பயன்பாடு விளம்பர வருவாயை உருவாக்க டெவலப்பர்களால் பயன்படுத்தப்படும் மூன்றாம் தரப்பு நூலகத்தால் சமரசம் செய்யப்பட்டது. இந்த மாற்றத்தின் விளைவாக 100 மில்லியன் சாதனங்கள் தாக்குபவர்களால் கட்டுப்படுத்தப்படும் சேவையகங்களுடன் இணைக்கப்பட்டன, பின்னர் அது மறைக்கப்பட்ட பேலோடுகளை பயன்படுத்தியது.
அதேபோன்றதொரு நிலை தற்போது மீண்டும் உருவாகியுள்ளது. Infosec நிபுணர்கள் Google Play இலிருந்து 11 மில்லியன் முறை பதிவிறக்கம் செய்யப்பட்ட இரண்டு புதிய பயன்பாடுகளை அடையாளம் கண்டுள்ளனர், அவை ஒரே தீம்பொருள் குடும்பத்தால் பாதிக்கப்பட்டுள்ளன. விளம்பர அம்சங்களை ஒருங்கிணைக்கப் பயன்படுத்தப்படும் பாதுகாப்பற்ற மென்பொருள் மேம்பாட்டுக் கருவி மீண்டும் ஒருமுறை குற்றம் சாட்டப்பட்டதாகத் தோன்றுகிறது.
பொருளடக்கம்
SDK என்றால் என்ன?
மென்பொருள் மேம்பாட்டுக் கருவிகள் அல்லது SDKகள், டெவலப்பர்களுக்கு முன் கட்டமைக்கப்பட்ட கட்டமைப்பை வழங்குகின்றன, அவை வழக்கமான பணிகளைக் கையாள்வதன் மூலம் பயன்பாட்டை உருவாக்கும் செயல்முறையை எளிதாக்குகின்றன மற்றும் துரிதப்படுத்துகின்றன. இந்த வழக்கில், சரிபார்க்கப்படாத SDK மாட்யூல், விளம்பரக் காட்சியை ஆதரிக்கும் வகையில் வடிவமைக்கப்பட்டுள்ளது, பயன்பாடுகளில் ஒருங்கிணைக்கப்பட்டது. இருப்பினும், மேற்பரப்பிற்கு கீழே, சமரசம் செய்யப்பட்ட சேவையகங்களுடன் இரகசியமாக தொடர்புகொள்வதற்கான மேம்பட்ட முறைகளை இது செயல்படுத்தியது. இது பயனர் தரவைப் பதிவேற்றவும், தீங்கு விளைவிக்கும் குறியீட்டைப் பதிவிறக்கவும் பயன்பாடுகளை அனுமதித்தது, இது எந்த நேரத்திலும் செயல்படுத்தப்படலாம் அல்லது புதுப்பிக்கப்படலாம்.
நெக்ரோ ட்ரோஜான்கள் சாதனங்களை எவ்வாறு பாதிக்கின்றன?
இரண்டு பிரச்சாரங்களுக்கும் பின்னால் உள்ள தீம்பொருள் குடும்பம் நெக்ரோ என்று அழைக்கப்படுகிறது, மேலும் இந்த நிகழ்வில், சில மாறுபாடுகள் ஸ்டெகானோகிராபி போன்ற மேம்பட்ட நுட்பங்களைப் பயன்படுத்துகின்றன-இது மொபைல் அச்சுறுத்தல்களில் அரிதான தெளிவூட்டல் முறையாகும். உயர்ந்த கணினி சலுகைகளுடன் செயல்படும் திறன் கொண்ட மோசடிக் குறியீட்டை வழங்க சில வகைகளும் அதிநவீன முறைகளைப் பயன்படுத்துகின்றன. ஒரு சாதனம் பாதிக்கப்பட்டவுடன், அது தாக்குபவர்-கட்டுப்படுத்தப்பட்ட கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் தொடர்பு கொள்கிறது. இது மறைகுறியாக்கப்பட்ட JSON தரவை அனுப்புகிறது, இது சமரசம் செய்யப்பட்ட சாதனம் மற்றும் மோசடி தொகுதியை வழங்கும் பயன்பாடு பற்றிய விவரங்களைப் புகாரளிக்கிறது.
சேவையகம் JSON செய்தியுடன் பதிலளிக்கிறது, அதில் PNG படத்திற்கான இணைப்பு மற்றும் படத்தின் ஹாஷ் உள்ள மெட்டாடேட்டா ஆகியவை அடங்கும். பாதிக்கப்பட்ட சாதனத்தில் உள்ள தொகுதி ஹாஷை சரிபார்த்தால், அது படத்தைப் பதிவிறக்கும்.
SDK தொகுதி எளிய ஸ்டெகானோகிராஃபிக் அல்காரிதத்தைப் பயன்படுத்துகிறது என்று ஆராய்ச்சியாளர்கள் விளக்கினர். MD5 சரிபார்ப்பை நிறைவேற்றியதும், நிலையான ஆண்ட்ராய்டு கருவிகளைப் பயன்படுத்தி, PNG கோப்பின் உள்ளடக்கங்களை, குறிப்பாக ARGB சேனல்களில் இருந்து பிக்சல் மதிப்புகளைப் பிரித்தெடுக்கிறது. getPixel முறையானது, குறைவான குறிப்பிடத்தக்க பைட்டில் படத்தின் நீல சேனலைக் கொண்டிருக்கும் மதிப்பை மீட்டெடுக்கிறது, மேலும் தீம்பொருள் அதன் செயலாக்கத்தை அங்கிருந்து தொடங்குகிறது.
நெக்ரோ ட்ரோஜன் கடுமையான விளைவுகளுக்கு வழிவகுக்கும்
தீம்பொருளால் நிறுவப்பட்ட பின்தொடரும் பேலோடுகள், பல்வேறு செயல்களைச் செய்ய ஒவ்வொரு பாதிக்கப்பட்ட சாதனத்திற்கும் தனிப்பயனாக்கக்கூடிய மோசடி செருகுநிரல்களைப் பதிவிறக்குகின்றன. அத்தகைய ஒரு செருகுநிரல், உயர்ந்த கணினி சலுகைகளுடன் குறியீட்டை இயக்க அனுமதிக்கிறது. பொதுவாக, ஆண்ட்ராய்டு சலுகை பெற்ற செயல்முறைகளை WebView-ஐப் பயன்படுத்துவதைத் தடுக்கிறது—இது பயன்பாடுகளில் இணையப் பக்கங்களைக் காண்பிப்பதற்கான ஒரு அங்கமாகும். இந்த கட்டுப்பாட்டை சமாளிக்க, Necro ஆனது WebView தொழிற்சாலையின் ஒரு தனி நிகழ்வை உருவாக்க பிரதிபலிப்பு தாக்குதல் எனப்படும் நுட்பத்தை பயன்படுத்துகிறது.
கூடுதலாக, இந்த செருகுநிரல் WebView மூலம் காட்டப்படும் இணைப்புகளை மாற்றியமைக்கும் பிற கோப்புகளை பதிவிறக்கம் செய்து இயக்க முடியும். உயர்ந்த சிஸ்டம் உரிமைகளுடன், கட்டணச் சந்தாக்களுக்கான உறுதிப்படுத்தல் குறியீடுகளைச் செருகவும், தாக்குபவர்-கட்டுப்படுத்தப்பட்ட இணைப்புகளிலிருந்து குறியீட்டைப் பதிவிறக்கி இயக்கவும் இந்த இயங்கக்கூடியவை URLகளை மாற்றலாம். நெக்ரோவின் பகுப்பாய்வின் போது ஆராய்ச்சியாளர்கள் ஐந்து தனித்துவமான பேலோடுகளை அடையாளம் கண்டுள்ளனர். கூடுதலாக, நெக்ரோவின் மட்டு அமைப்பு தீம்பொருள் செயல்பட பல வழிகளை வழங்குகிறது.
நெக்ரோ ட்ரோஜன் இரண்டு பயன்பாடுகளில் கண்டுபிடிக்கப்பட்டது
Google Play இல் இரண்டு பயன்பாடுகளில் Necro ஐ ஆராய்ச்சியாளர்கள் அடையாளம் கண்டுள்ளனர். அவற்றில் ஒன்றான Wuta Camera 10 மில்லியன் பதிவிறக்கங்களைப் பெற்றுள்ளது. Wuta கேமராவின் பதிப்புகள் 6.3.2.148 முதல் 6.3.6.148 வரை, நோய்த்தொற்றுகளுக்குப் பொறுப்பான தீங்கிழைக்கும் SDK உள்ளது, ஆனால் தீங்கு விளைவிக்கும் கூறுகளை அகற்ற, பயன்பாடு புதுப்பிக்கப்பட்டது. மற்றொரு பயன்பாடு, மேக்ஸ் உலாவி, தோராயமாக 1 மில்லியன் பதிவிறக்கங்கள், சமரசம் செய்யப்பட்டது; இருப்பினும், இது இனி Google Play இல் கிடைக்காது.
கூடுதலாக, மாற்று சந்தைகளில் வழங்கப்படும் ஆண்ட்ராய்டு பயன்பாடுகளின் வரம்பில் நெக்ரோ பாதிப்பை ஏற்படுத்துவதை ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர். இந்த பயன்பாடுகள் பொதுவாக Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer மற்றும் Melon Sandbox உள்ளிட்ட முறையான பயன்பாடுகளின் மாற்றியமைக்கப்பட்ட பதிப்புகளாக வழங்கப்படுகின்றன.
