నెక్రో ట్రోజన్
2019లో, సైబర్ సెక్యూరిటీ పరిశోధకులు సమస్యాత్మకమైన సమస్యను కనుగొన్నారు: Google Play స్టోర్లోని చట్టబద్ధమైన Android అప్లికేషన్ ప్రకటనల ఆదాయాన్ని సంపాదించడానికి డెవలపర్లు ఉపయోగించే థర్డ్-పార్టీ లైబ్రరీ ద్వారా రాజీ చేయబడింది. ఈ మార్పు ఫలితంగా 100 మిలియన్ పరికరాలు దాడి చేసే వారిచే నియంత్రించబడే సర్వర్లకు కనెక్ట్ చేయబడ్డాయి, అది దాచిన పేలోడ్లను అమలు చేసింది.
ఇప్పుడు మళ్లీ అలాంటి పరిస్థితి నెలకొంది. Infosec నిపుణులు Google Play నుండి 11 మిలియన్ సార్లు డౌన్లోడ్ చేయబడిన రెండు కొత్త అప్లికేషన్లను గుర్తించారు, అదే మాల్వేర్ కుటుంబం ద్వారా సోకినవి. అడ్వర్టైజింగ్ ఫీచర్లను ఏకీకృతం చేయడానికి ఉపయోగించే అసురక్షిత సాఫ్ట్వేర్ డెవలప్మెంట్ కిట్ మరోసారి కారణమని తెలుస్తోంది.
విషయ సూచిక
SDK అంటే ఏమిటి?
సాఫ్ట్వేర్ డెవలప్మెంట్ కిట్లు లేదా SDKలు డెవలపర్లకు ముందస్తుగా నిర్మించిన ఫ్రేమ్వర్క్లను అందిస్తాయి, ఇవి సాధారణ పనులను నిర్వహించడం ద్వారా అప్లికేషన్ సృష్టి ప్రక్రియను సులభతరం చేస్తాయి మరియు వేగవంతం చేస్తాయి. ఈ సందర్భంలో, ధృవీకరించబడని SDK మాడ్యూల్, యాడ్ డిస్ప్లేకు మద్దతు ఇచ్చేలా రూపొందించబడింది, అప్లికేషన్లలో విలీనం చేయబడింది. అయితే, ఉపరితలం క్రింద, ఇది రాజీపడిన సర్వర్లతో రహస్యంగా కమ్యూనికేట్ చేయడానికి అధునాతన పద్ధతులను ప్రారంభించింది. ఇది వినియోగదారు డేటాను అప్లోడ్ చేయడానికి మరియు హానికరమైన కోడ్ని డౌన్లోడ్ చేయడానికి అప్లికేషన్లను అనుమతించింది, ఇది ఎప్పుడైనా అమలు చేయబడవచ్చు లేదా నవీకరించబడవచ్చు.
నెక్రో ట్రోజన్లు పరికరాలను ఎలా ప్రభావితం చేస్తాయి?
రెండు ప్రచారాల వెనుక ఉన్న మాల్వేర్ కుటుంబాన్ని నెక్రో అని పిలుస్తారు మరియు ఈ సందర్భంలో, కొన్ని వైవిధ్యాలు స్టెగానోగ్రఫీ వంటి అధునాతన పద్ధతులను ఉపయోగిస్తాయి-మొబైల్ బెదిరింపులలో అరుదైన అస్పష్ట పద్ధతి. ఎలివేటెడ్ సిస్టమ్ అధికారాలతో ఆపరేటింగ్ చేయగల మోసపూరిత కోడ్ను అందించడానికి కొన్ని వేరియంట్లు అధునాతన పద్ధతులను కూడా ఉపయోగిస్తాయి. పరికరం సోకిన తర్వాత, అది అటాకర్-నియంత్రిత కమాండ్-అండ్-కంట్రోల్ సర్వర్తో కమ్యూనికేట్ చేస్తుంది. ఇది రాజీపడిన పరికరం మరియు మోసపూరిత మాడ్యూల్ని హోస్ట్ చేస్తున్న అప్లికేషన్ గురించిన వివరాలను నివేదించే గుప్తీకరించిన JSON డేటాను పంపుతుంది.
అప్పుడు సర్వర్ JSON సందేశంతో ప్రతిస్పందిస్తుంది, ఇందులో PNG చిత్రానికి లింక్ మరియు చిత్రం యొక్క హాష్ ఉన్న మెటాడేటా ఉంటుంది. సోకిన పరికరంలోని మాడ్యూల్ హాష్ను ధృవీకరిస్తే, అది చిత్రాన్ని డౌన్లోడ్ చేయడానికి కొనసాగుతుంది.
SDK మాడ్యూల్ సాధారణ స్టెగానోగ్రాఫిక్ అల్గారిథమ్ను ఉపయోగిస్తుందని పరిశోధకులు వివరించారు. MD5 చెక్ను పాస్ చేసిన తర్వాత, ఇది PNG ఫైల్ యొక్క కంటెంట్లను, ప్రత్యేకంగా ARGB ఛానెల్ల నుండి పిక్సెల్ విలువలను ప్రామాణిక Android సాధనాలను ఉపయోగించి సంగ్రహిస్తుంది. getPixel పద్ధతి తక్కువ ముఖ్యమైన బైట్లో చిత్రం యొక్క బ్లూ ఛానెల్ని కలిగి ఉన్న విలువను తిరిగి పొందుతుంది మరియు మాల్వేర్ దాని ప్రాసెసింగ్ను అక్కడ నుండి ప్రారంభిస్తుంది.
నెక్రో ట్రోజన్ తీవ్రమైన పరిణామాలకు దారితీయవచ్చు
మాల్వేర్ ద్వారా ఇన్స్టాల్ చేయబడిన ఫాలో-ఆన్ పేలోడ్లు మోసపూరిత ప్లగిన్లను డౌన్లోడ్ చేస్తాయి, వీటిని వివిధ చర్యలను చేయడానికి ప్రతి సోకిన పరికరం కోసం అనుకూలీకరించవచ్చు. అటువంటి ప్లగ్ఇన్ ఎలివేటెడ్ సిస్టమ్ అధికారాలతో కోడ్ని అమలు చేయడానికి అనుమతిస్తుంది. సాధారణంగా, Android వెబ్వ్యూను ఉపయోగించకుండా ప్రత్యేక ప్రాసెస్లను నియంత్రిస్తుంది-అప్లికేషన్లలో వెబ్ పేజీలను ప్రదర్శించడానికి ఒక భాగం. ఈ పరిమితిని అధిగమించడానికి, Necro WebView ఫ్యాక్టరీ యొక్క ప్రత్యేక సంఘటనను సృష్టించడానికి ప్రతిబింబ దాడిగా పిలువబడే సాంకేతికతను ఉపయోగిస్తుంది.
అదనంగా, ఈ ప్లగ్ఇన్ WebView ద్వారా ప్రదర్శించబడే లింక్లను సవరించే ఇతర ఫైల్లను డౌన్లోడ్ చేయగలదు మరియు అమలు చేయగలదు. ఎలివేటెడ్ సిస్టమ్ హక్కులతో, ఈ ఎక్జిక్యూటబుల్లు చెల్లింపు సభ్యత్వాల కోసం నిర్ధారణ కోడ్లను ఇన్సర్ట్ చేయడానికి URLలను మార్చగలవు మరియు దాడి చేసేవారి-నియంత్రిత లింక్ల నుండి కోడ్ను డౌన్లోడ్ చేసి అమలు చేయగలవు. నెక్రో యొక్క విశ్లేషణ సమయంలో పరిశోధకులు ఐదు విభిన్న పేలోడ్లను గుర్తించారు. అదనంగా, Necro యొక్క మాడ్యులర్ నిర్మాణం మాల్వేర్ ఆపరేట్ చేయడానికి అనేక మార్గాలను అందిస్తుంది.
నెక్రో ట్రోజన్ రెండు అప్లికేషన్లలో కనుగొనబడింది
Google Playలోని రెండు అప్లికేషన్లలో పరిశోధకులు Necroని గుర్తించారు. వాటిలో ఒకటైన వుటా కెమెరా 10 మిలియన్ల డౌన్లోడ్లను పొందింది. Wuta కెమెరా యొక్క సంస్కరణలు 6.3.2.148 నుండి 6.3.6.148 వరకు ఇన్ఫెక్షన్లకు కారణమయ్యే హానికరమైన SDKని కలిగి ఉంది, అయితే హానికరమైన భాగాన్ని తొలగించడానికి అప్లికేషన్ అప్డేట్ చేయబడింది. మరో అప్లికేషన్, మాక్స్ బ్రౌజర్, దాదాపు 1 మిలియన్ డౌన్లోడ్లతో, కూడా రాజీ పడింది; అయితే, ఇది Google Playలో అందుబాటులో ఉండదు.
అదనంగా, ప్రత్యామ్నాయ మార్కెట్ప్లేస్లలో అందించే అనేక రకాల ఆండ్రాయిడ్ అప్లికేషన్లకు నెక్రో సోకినట్లు పరిశోధకులు కనుగొన్నారు. ఈ అప్లికేషన్లు సాధారణంగా Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer మరియు Melon Sandboxతో సహా చట్టబద్ధమైన అప్లికేషన్ల యొక్క సవరించిన సంస్కరణలుగా ప్రదర్శించబడతాయి.
