একটি নতুন অ্যান্ড্রয়েড ম্যালওয়্যার পরিবার সন্ধান করা হয়েছে, যা অ্যান্ড্রয়েড ক্ষতিগ্রস্থদের সম্পর্কে গোয়েন্দা তথ্য সংগ্রহের জন্য হোয়াটসঅ্যাপ এবং ফেসবুক ম্যাসেঞ্জারের মতো জনপ্রিয় মেসেজিং অ্যাপগুলিকে লক্ষ্য করে।
WolfRAT নামে ডাব করা ম্যালওয়্যারটি সক্রিয় বিকাশের অধীনে রয়েছে এবং সম্প্রতি থাই ব্যবহারকারীদের লক্ষ্য করে প্রচার প্রচারে সনাক্ত করা হয়েছিল। গবেষকরা "উচ্চ আত্মবিশ্বাসের সাথে" মূল্যায়ন করেন যে ম্যালওয়্যার জার্মানী ভিত্তিক স্পাইওয়্যার সংস্থা Wolf রিসার্চ পরিচালনা করে যা গুপ্তচর-ভিত্তিক ম্যালওয়্যার সরকারগুলিতে বিকাশ করে এবং বিক্রি করে।
চ্যাট সংক্রান্ত বিশদ বিবরণ, হোয়াটসঅ্যাপ রেকর্ডস, মেসেঞ্জার এবং বিশ্বের এসএমএসগুলি কিছু সংবেদনশীল তথ্য বহন করে এবং লোকেরা যখন তাদের ফোনে যোগাযোগ ঘটে তখন এগুলি ভুলে যেতে পছন্দ করে, "সিসকো টালোসের গবেষক ওয়ারেন মেরার, পল রাসকাগনেরেস এবং ভিট্টর ভেন্টুরা মঙ্গলবার বিশ্লেষণে বলেছেন । “আমরা ওল্ফআর্যাটকে বিশেষত এশিয়া, লাইন এর একটি অত্যন্ত জনপ্রিয় এনক্রিপ্ট করা চ্যাট অ্যাপটিকে লক্ষ্যবস্তু করে লক্ষ্য করি যা দেখায় যে শেষ-থেকে-শেষ এনক্রিপশন চ্যাটের আশেপাশে কিছু সচেতন ব্যবহারকারী এমনকি এখনও ওল্ফআরএটি এর করুণায় থাকবে এবং এটি চোখ বুজেছে।
সিসকো তালোসের টেকনিক্যাল লিড ওয়ারেন মেরার থ্রিটপোস্টকে বলেছিলেন যে তিনি বিশ্বাস করেন যে সংক্রমণ ভেক্টর ব্যবহারকারীদের ডিভাইসে ফিশিং / স্মিশ লিঙ্কের মাধ্যমে ছিল গবেষকরা আবিষ্কার করেছেন যে কমান্ড-অ্যান্ড-কন্ট্রোল (সি 2) সার্ভার ডোমেনটি থাইল্যান্ডে অবস্থিত এবং এতে থাই খাবারের উল্লেখ রয়েছে, এতে লোভ সম্ভাব্য কী হতে পারে সে সম্পর্কে একটি সূত্র দেয়।
অভিযান :--
একবার ডাউনলোড হয়ে গেলে, WolfRAT আইকন এবং প্যাকেজের নাম ব্যবহার করে গুগল প্লে অ্যাপ্লিকেশন বা ফ্ল্যাশ আপডেটের মতো বৈধ পরিষেবা হিসাবে ভঙ্গ করে। এগুলি সাধারণত কার্যকরী প্যাকেজ, কোনও ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন হয় না, মার্সার বলেছিলেন। উদাহরণস্বরূপ, ম্যালওয়্যার গুগল প্লে অ্যাপ্লিকেশন হওয়ার ভান করার জন্য একটি প্যাকেজ নাম ("com.google.services") ব্যবহার করে।
নামটি নন-টেক সচেতন ব্যবহারকারীকে এটি Google এর সাথে সম্পর্কিত এবং অ্যান্ড্রয়েড অপারেটিং সিস্টেমের একটি প্রয়োজনীয় অংশ বলে মনে করার জন্য যথেষ্ট জেনেরিক উপস্থিত হয়। ব্যবহারকারী যদি অ্যাপ্লিকেশন আইকনটি টিপেন তবে তারা ম্যালওয়ার লেখকরা কেবল জেনেরিক গুগল অ্যাপ্লিকেশন সম্পর্কিত তথ্যই দেখতে পাবেন, ” Team57 কে এ বিষয়ে জানিয়েছেন। “এটি আক্রান্তের দ্বারা অ্যাপ্লিকেশনটি আনইনস্টল করা না হয় তা নিশ্চিত করার লক্ষ্য
নিজে WolfRAT-এর আরও গবেষণার পরে, গবেষকরা দেখতে পেয়েছিলেন যে ড্যানড্রয়েড নামের আগের ফাঁস হওয়া ম্যালওয়্যারটির ভিত্তিতে আরএটি তৈরি করা হয়েছে। ডেনড্রয়েড 2014 সালে আবিষ্কার করা হয়েছিল এবং এটি মোটামুটি সহজ অ্যান্ড্রয়েড ম্যালওয়্যার (এটি অ্যান্ড্রয়েড অ্যাক্সেসিবিলিটি কাঠামোর সুবিধা গ্রহণ করে না, উদাহরণস্বরূপ, অনেক আধুনিক অ্যান্ড্রয়েড ম্যালওয়্যার পরিবার যেমন করে)। ডেনড্রয়েড ফটো ও ভিডিও নেওয়ার জন্য,
অডিও রেকর্ডিং করতে এবং ছবি আপলোড করার জন্য গুপ্তচর ভিত্তিক কমান্ড ধারণ করে।
গবেষকরা WolfRAT-এর কমপক্ষে চারটি বড় রিলিজ চিহ্নিত করেছেন, এটি প্রতিবিম্বিত করে যে এটি "তীব্র বিকাশ" এর অধীনে রয়েছে। টাইমলাইনের পরিপ্রেক্ষিতে গবেষকরা নমুনাগুলি সনাক্ত করেছেন যা জানুয়ারী 2019 থেকে ক্রিয়াকলাপ দেখায়, তবে, সি 2 ডোমেনগুলির মধ্যে একটি 2017 সালে নিবন্ধিত হয়েছিল (পোনেথাস [।] কম), মার্সার জানিয়েছেন।
এই সংস্করণগুলি স্ক্রিন-রেকর্ডিং বৈশিষ্ট্য সহ বেশ কয়েকটি ক্ষমতা প্রকাশ করেছে। পূর্ববর্তী নমুনাগুলির বিশ্লেষণের সময়, গবেষকরা লক্ষ্য করেছেন যে বৈশিষ্ট্যটি কখনই ম্যালওয়ার দ্বারা কল করা বা ব্যবহার করা হয়নি - তবে পরে নমুনায় স্কুলে রেকর্ডিং শুরু হয় যখন আরএটি নির্ধারণ করে যে হোয়াটসঅ্যাপ চলছে running
ম্যালওয়ারের পরবর্তী সংস্করণগুলিতে ACCESS_SUPERUSER (অ্যান্ড্রয়েড 5.0 এর পরে অবনমিত), এবং DEVICE_ADMIN সুবিধাগুলি (অ্যান্ড্রয়েড 10-তেও অবমানিত) জন্য অনুরোধ করা বিভিন্ন অনুমতিগুলির বৈশিষ্ট্য রয়েছে, যা উভয়ই ভুক্তভোগীর উপর অধিকারযুক্ত অ্যাক্সেস অধিকারগুলি (যেমন প্রশাসনিক অনুমতি) অ্যাক্সেসের পদ্ধতি হিসাবে চেষ্টা করছে যন্ত্র. আরেকটি অনুমতি যোগ করা হয়েছে, READ_FRAME_BUFFER, "এখানে ব্যবহৃত সবচেয়ে গুরুত্বপূর্ণ এপিআই," মার্সার থ্রিটপোস্টকে বলেছেন, এটি বর্তমান ডিভাইসের স্ক্রিনের স্ক্রিনশট (যেমন; হোয়াটসঅ্যাপ) পাওয়ার জন্য অ্যাপ্লিকেশন দ্বারা ব্যবহার করা যেতে পারে। সেই সামর্থ্যটিতে যুক্ত করে ম্যালওয়ারের পরবর্তী সংস্করণগুলি সক্রিয়ভাবে ফেসবুক ম্যাসেঞ্জার, হোয়াটসঅ্যাপ এবং লাইন ক্রিয়াকলাপ অনুসন্ধান করে। এই অ্যাপ্লিকেশনগুলি খোলার পরে, ম্যালওয়ারটি স্ক্রিনশট নেয় এবং সেগুলিতে আপলোড করে।
গবেষকরা উল্লেখ করেছেন যে বিপুল পরিমাণ অব্যবহৃত কোড এবং অবচিত ও পুরানো কৌশলগুলির ব্যবহারের সাথে প্যাকেজগুলি ধ্রুবক সংযোজন এবং অপসারণ, "একটি অপেশাদার বিকাশের পদ্ধতি বোঝায়।"
"এই অভিনেতা কোড ওভারল্যাপগুলি, ওপেন-সোর্স প্রকল্পের অনুলিপি / পেস্ট সহ ক্লাসের উদাহরণ দেওয়া হয়নি, অস্থির প্যাকেজগুলি এবং অবাধে খোলা প্যানেলগুলি সহ ক্রিয়াকলাপগুলির একটি আশ্চর্যজনক স্তর দেখিয়েছেন," তারা বলেছিল।
নেকড়ে গবেষণা লিংক :--
গবেষকরা গ্রুপটির আগে ব্যবহৃত অবকাঠামো ওভারল্যাপ এবং স্ট্রিং রেফারেন্স সনাক্ত করার পরে Wolf রিসার্চের সাথে এই অভিযানটি যুক্ত করেছিলেন। গবেষকরা বলেছেন, সংস্থাটি বন্ধ হয়ে গেছে বলে মনে হচ্ছে, তবে হুমকি অভিনেতারা এখনও খুব সক্রিয় রয়েছেন। গবেষকরা বিশ্বাস করেন এর অপারেটররা লোকদ নামে একটি নতুন সংস্থার আড়ালে কাজ চালিয়ে যাচ্ছে। এই নতুন সংস্থা আরও সুরক্ষিত অ্যান্ড্রয়েড ফোন তৈরির প্রস্তাব করেছিল বলে গবেষকরা জানিয়েছেন। প্রতিষ্ঠানের ওয়েবসাইটের ভিত্তিতে, এটি পরিষেবাগুলির প্রস্তাব দেয় এবং তাদের নিজস্ব পণ্যগুলি পরীক্ষা করার জন্য শূন্য-দিনের দুর্বলতাগুলি বিকাশ করে।
"তবে, অবকাঠামো ভাগ করে নেওয়ার এবং প্যানেল নামগুলি ভুলে যাওয়ার জন্য ধন্যবাদ, আমরা উচ্চ আত্মবিশ্বাসের সাথে মূল্যায়ন করি যে এই অভিনেতা এখনও সক্রিয়, এটি এখনও ম্যালওয়্যার বিকাশ করছে এবং এটি জুনের মাঝামাঝি থেকে আজ অবধি ব্যবহার করে চলেছে," গবেষকরা বলেছেন। “সি 2 প্যানেলে আমরা Wolf রিসার্চ এবং করালকো টেক নামে সাইপ্রাসের অন্য একটি সংস্থার মধ্যে একটি সম্ভাব্য সংযোগ খুঁজে পেয়েছি। এই সংস্থাটি ইন্টারসেপশন প্রযুক্তিতেও কাজ করছে। ”
0 মন্তব্যসমূহ