एंड्रॉइड मैलवेयर FvncBot, SeedSnatcher और ClayRat: ये आपके मोबाइल पर कैसे हमला करते हैं

एंड्रॉइड फोन हमारे डिजिटल जीवन का केंद्र बन गए हैं: बैंकिंग, क्रिप्टोकरेंसी, काम, सोशल मीडिया… और दुर्भाग्य से, ये हमारे जीवन का भी केंद्र बन गए हैं। साइबर अपराधियों का पसंदीदा निशानाहालांकि कई उपयोगकर्ता अभी भी सोचते हैं कि इसके साथ एंटीवायरस इंस्टॉल करें अब सब कुछ हो चुका है, वास्तविकता यह है कि एंड्रॉइड मैलवेयर ने परिष्कार में एक जबरदस्त छलांग लगाई है और अब यह पारंपरिक पीसी खतरों के साथ सीधे तौर पर प्रतिस्पर्धा करता है।

हाल के महीनों में, कई सुरक्षा प्रयोगशालाओं ने तीन बहुत ही विशिष्ट परिवारों पर ध्यान केंद्रित किया है: FvncBot, SeedSnatcher और ClayRat का उन्नत संस्करणये साधारण ट्रोजन नहीं हैं जो केवल परेशान करने वाले विज्ञापन दिखाते हैं: हम ऐसे मैलवेयर की बात कर रहे हैं जो आपके मोबाइल फोन को दूर से नियंत्रित करने, बैंकिंग क्रेडेंशियल चुराने, क्रिप्टोकरेंसी वॉलेट खाली करने, कीस्ट्रोक्स रिकॉर्ड करने या यहां तक कि डिवाइस को स्वचालित रूप से अनलॉक करने में सक्षम हैं, और यह सब एक्सेसिबिलिटी सेवाओं और स्क्रीन ओवरले का दुरुपयोग करके होता है जिन्हें नंगी आंखों से पहचानना बहुत मुश्किल है।

साइबर सुरक्षा विशेषज्ञ कुछ समय से एक बात पर गौर कर रहे हैं। एंड्रॉइड मैलवेयर का तीव्र विकासइन अभियानों का उद्देश्य न केवल घरेलू उपयोगकर्ताओं को संक्रमित करना है, बल्कि कंपनियों के कर्मचारियों और संवेदनशील जानकारी या संबंधित आर्थिक निधियों तक पहुंच रखने वाले लोगों को भी संक्रमित करना है।

इन खतरों के पीछे हमें दोनों समूह मिलते हैं विशुद्ध रूप से वित्तीय प्रेरणा उन्नत अभिकर्ताओं (एपीटी) के रूप में, जिनके राज्य से संभावित संबंध हो सकते हैं, विशेष रूप से क्लेरैट जैसे स्पाइवेयर के मामले में, जो लंबी दूरी की जासूसी, डेटा चोरी और विशिष्ट पीड़ितों की ट्रैकिंग के लिए तैयार किए गए हैं।

एंड्रॉइड डिवाइसों को हैक करने के तरीके काफी हद तक इस पर आधारित हैं: सोशल इंजीनियरिंग और दुर्भावनापूर्ण ऐप्स के वितरण में Google Play के बाहरहालांकि, थर्ड-पार्टी स्टोर, लोकप्रिय सेवाओं की नकल करने वाले फ़िशिंग डोमेन और टेलीग्राम जैसे मैसेजिंग चैनल, जहां हेरफेर किए गए एपीके के लिंक साझा किए जाते हैं, का भी दुरुपयोग किया जाता है।

ये नए ट्रोजन वैध सिस्टम कार्यक्षमताओं का लाभ उठाते हैं, विशेष रूप से अभिगम्यता सेवाएं, स्क्रीन ओवरले और मीडियाप्रोजेक्शन एपीआई (स्क्रीन रिकॉर्ड करने या साझा करने के लिए उपयोग किया जाता है), उन्हें जासूसी उपकरणों में बदल दिया जाता है और वित्तीय धोखाधड़ी अत्यंत प्रभावी।

इस संदर्भ में, तीन नाम तेजी से उभर रहे हैं जिनका उल्लेख तकनीकी रिपोर्टों में पहले से ही अक्सर किया जाता है: FvncBot, SeedSnatcher और ClayRatहर कोई अपनी-अपनी रणनीति से काम करता है, लेकिन उन सभी का लक्ष्य एक ही है: बिना संदेह पैदा किए जितना संभव हो उतनी जानकारी चुराना और डिवाइस पर नियंत्रण बनाए रखना।

मोबाइल खतरों का बढ़ता आक्रामक परिदृश्य

एंड्रॉइड डिवाइसों को हैक करने के तरीके काफी हद तक इस पर आधारित हैं: सोशल इंजीनियरिंग और दुर्भावनापूर्ण ऐप्स के वितरण में गूगल प्ले के अलावा, तृतीय-पक्ष स्टोर, लोकप्रिय सेवाओं की नकल करने वाले फ़िशिंग डोमेन और टेलीग्राम जैसे मैसेजिंग चैनल, जहां हेरफेर किए गए एपीके के लिंक साझा किए जाते हैं, का भी दुरुपयोग किया जाता है।

ये नए ट्रोजन वैध सिस्टम कार्यक्षमताओं का लाभ उठाते हैं, विशेष रूप से अभिगम्यता सेवाएं, स्क्रीन ओवरले और मीडियाप्रोजेक्शन एपीआई (स्क्रीन को रिकॉर्ड करने या साझा करने के लिए उपयोग किया जाता है), जिससे वे जासूसी और वित्तीय धोखाधड़ी के लिए अत्यंत प्रभावी उपकरण बन जाते हैं।

FvncBot: VNC-प्रकार के रिमोट कंट्रोल वाला बैंकिंग ट्रोजन

उनकी मुख्य चाल यह है कि वे एक होने का नाटक करते हैं। एमबैंक से संबंधित सुरक्षा एप्लिकेशनएक प्रसिद्ध पोलिश वित्तीय संस्थान। उपयोगकर्ता को लगता है कि वे एक वैध ऐप इंस्टॉल कर रहे हैं जो उनके मोबाइल बैंकिंग की सुरक्षा को बढ़ाता है, जबकि वास्तव में वे एक ट्रोजन वायरस इंस्टॉल कर रहे हैं जो उनकी हर गतिविधि को रिकॉर्ड करने और उनके मोबाइल डिवाइस को दूर से नियंत्रित करने में सक्षम है।

संक्रमण प्रक्रिया एक "ड्रॉपर" ऐप के माध्यम से शुरू होती है जो लोडर के रूप में कार्य करता है। यह ऐप एक अस्पष्टीकरण और एन्क्रिप्शन सेवा द्वारा सुरक्षित है जिसे इस नाम से जाना जाता है। apk0day, गोल्डन क्रिप्ट द्वारा प्रस्तुतइससे सुरक्षा समाधानों का उपयोग करके कोड का विश्लेषण करना और उसकी पहचान करना मुश्किल हो जाता है। एप्लिकेशन खोलने पर, एक संदेश प्रदर्शित होता है जिसमें उपयोगकर्ता को सिस्टम की स्थिरता या सुरक्षा में सुधार के लिए कथित "Google Play घटक" स्थापित करने के लिए कहा जाता है।

वास्तव में, वह घटक स्वयं ही है। FvncBot से दुर्भावनापूर्ण पेलोडयह मैलवेयर एंड्रॉइड 13 के साथ पेश किए गए एक्सेसिबिलिटी प्रतिबंधों को दरकिनार करने के लिए सेशन-आधारित दृष्टिकोण का लाभ उठाता है। इस प्रकार, ऑपरेटिंग सिस्टम के नवीनतम संस्करणों पर भी, मैलवेयर डिवाइस पर लगभग सब कुछ देखने और नियंत्रित करने के लिए आवश्यक अनुमतियों को सक्रिय करने में कामयाब हो जाता है।

एक बार चलने के बाद, FvncBot उपयोगकर्ता से अनुमति देने के लिए कहता है। पहुँच सेवाओं की अनुमतियाँयदि पीड़ित सहमत हो जाता है, तो ट्रोजन को सिस्टम के भीतर एक प्रकार की "अतिशक्तियाँ" प्राप्त हो जाती हैं: यह स्क्रीन पर प्रदर्शित होने वाली चीज़ों को पढ़ सकता है, यह पता लगा सकता है कि कौन से एप्लिकेशन खुले हैं, कीस्ट्रोक्स का अनुकरण कर सकता है, अन्य ऐप्स के ऊपर विंडो प्रदर्शित कर सकता है, या बैंक लॉगिन जैसे संवेदनशील फॉर्मेट में कीस्ट्रोक्स को रिकॉर्ड कर सकता है।

अपनी गतिविधि के दौरान, मैलवेयर घटनाओं और लॉग को एक naleymilva.it.com डोमेन से संबद्ध रिमोट सर्वरऑपरेटरों द्वारा प्रत्येक संक्रमित डिवाइस की स्थिति की निगरानी के लिए इसका उपयोग किया गया था। विश्लेषण किए गए नमूनों में एक बिल्ड आइडेंटिफ़ायर "call_pl" पाया गया, जो स्पष्ट रूप से पोलैंड को लक्षित देश के रूप में इंगित करता है, और एक संस्करण "1.0-P" पाया गया, जिससे पता चलता है कि FvncBot अभी भी विकास के प्रारंभिक चरण में है और इसमें और विकास हो सकता है।

डिवाइस के पंजीकरण के बाद, FvncBot अपने कमांड और कंट्रोल इंफ्रास्ट्रक्चर के साथ संचार करता है। HTTP और फायरबेस क्लाउड मैसेजिंग (FCM)इन चैनलों के माध्यम से, यह वास्तविक समय में निर्देश प्राप्त करता है और हमलावरों के आदेशों के अनुसार अपने व्यवहार को संशोधित कर सकता है, पीड़ित के प्रकार या चल रहे अभियान के आधार पर विशिष्ट मॉड्यूल को सक्रिय या निष्क्रिय कर सकता है।

इस ट्रोजन में दस्तावेजित कार्यों में से कई विशेष रूप से महत्वपूर्ण हैं, जैसे कि क्षमता वेबसॉकेट कनेक्शन शुरू या बंद करें जो डिवाइस को दूर से नियंत्रित करने की अनुमति देते हैं: हमलावर स्वाइप कर सकते हैं, टैप कर सकते हैं, स्क्रॉल कर सकते हैं, ऐप्स खोल सकते हैं या डेटा दर्ज कर सकते हैं, मानो फोन उनके हाथ में ही हो।

इसके अलावा, FvncBot घुसपैठ करता है पहुँच संबंधी घटनाएँ, स्थापित ऐप्स की सूची और डिवाइस की जानकारी (मॉडल, संस्करण, कॉन्फ़िगरेशन, आदि) की पूरी जानकारी उपलब्ध हो, ताकि ऑपरेटरों के पास लक्ष्यों की पूरी सूची हो, उन्हें पता हो कि कौन से बैंकिंग या क्रिप्टोकरेंसी एप्लिकेशन मौजूद हैं, और वे केवल उन्हीं ऐप्स पर दुर्भावनापूर्ण ओवरले तैनात कर सकें जिनमें उनकी वास्तव में रुचि हो।

ट्रोजन दिखाने के लिए तैयार है फुल-स्क्रीन नकली स्क्रीनबैंकिंग इंटरफेस या अन्य सेवाओं की नकल करके, यह क्रेडेंशियल, कार्ड डेटा या वन-टाइम कोड को कैप्चर कर लेता है। आवश्यकता न होने पर यह इन ओवरले को छिपा भी सकता है, इसलिए पीड़ित को शायद ही कोई असामान्य व्यवहार दिखाई देता है, सिवाय स्क्रीन में हल्की झिलमिलाहट के जिसे वे आमतौर पर एक साधारण दृश्य त्रुटि मान लेते हैं।

FvncBot का एक और उल्लेखनीय पहलू इसका उपयोग है। रीयल-टाइम स्क्रीन स्ट्रीमिंग के लिए मीडियाप्रोजेक्शन एपीआईयह, एचवीएनसी (हिडन वर्चुअल नेटवर्क कंप्यूटिंग) के माध्यम से रिमोट कंट्रोल के साथ मिलकर, हमलावरों को यह देखने की अनुमति देता है कि पीड़ित वास्तव में क्या देख रहा है और बैंक के ऐप को पूरी स्वतंत्रता के साथ संचालित करने की अनुमति देता है, यहां तक कि उन एप्लिकेशन में भी जो FLAG_SECURE फ्लैग का उपयोग करके स्क्रीनशॉट को ब्लॉक करने का प्रयास करते हैं।

इस सीमा को दूर करने के लिए, FvncBot में एक "टेक्स्ट मोड" शामिल है जो विश्लेषण करता है इंटरफ़ेस सामग्री तब भी उपलब्ध रहती है जब पारंपरिक तरीके से कैप्चर करना संभव न हो।इस प्रकार, भले ही कोई बैंकिंग या भुगतान ऐप सुरक्षा कारणों से स्क्रीनशॉट लेने से रोकता हो, ट्रोजन एक्सेसिबिलिटी सेवाओं की बदौलत स्क्रीन पर मौजूद तत्वों को पढ़ने में कामयाब हो जाता है।

फिलहाल इस बारे में कोई सार्वजनिक पुष्टि नहीं हुई है। मुख्य वितरण वेक्टरहालांकि, इसी तरह के अन्य बैंकिंग ट्रोजन के पैटर्न के आधार पर, यह बहुत संभावना है कि यह स्मिशिंग अभियानों (फिशिंग एसएमएस), मैसेजिंग के माध्यम से भेजे गए लिंक और तृतीय-पक्ष ऐप स्टोर का सहारा लेगा जहां प्रसिद्ध ऐप्स या कथित सुरक्षा उपकरणों के नकली संस्करण अपलोड किए जाते हैं।

हालांकि वर्तमान नमूने पोलिश उपयोगकर्ताओं और एक विशिष्ट इकाई पर केंद्रित हैं, विश्लेषकों का अनुमान है कि FvncBot के अन्य देशों और बैंकों के अनुकूल होने में बस कुछ ही समय बाकी है।भाषा, लोगो और ओवरले टेम्प्लेट को बदलना अपेक्षाकृत आसान है।

SeedSnatcher: सीड फ्रेज़ और 2FA कोड हंटर

यदि FvncBot का मुख्य लक्ष्य पारंपरिक बैंक खाते हैं, SeedSnatcher पूरी तरह से क्रिप्टो इकोसिस्टम को लक्षित कर रहा है।एंड्रॉइड मैलवेयर का यह परिवार विशेष रूप से वॉलेट सीड फ्रेज़, प्राइवेट कीज़ और सामान्य तौर पर ऐसी किसी भी जानकारी को चुराने के लिए डिज़ाइन किया गया है जो इसे क्रिप्टोकरेंसी वॉलेट पर नियंत्रण हासिल करने की अनुमति देती है।

सीडस्नैचर मुख्य रूप से इसके माध्यम से वितरित किया जाता है टेलीग्राम और अन्य सोशल चैनलये हमलावर "कॉइन" नाम का इस्तेमाल करके खुद को निवेश ऐप, क्रिप्टोकरेंसी प्रबंधन टूल या विशेष प्रचार के रूप में छिपाते हैं। हमलावर अक्सर इनके लिंक वितरित करते हैं। कथित तौर पर वैध एपीकेट्रेडिंग, एनएफटी या ब्लॉकचेन समाचारों से संबंधित सार्वजनिक या निजी समूहों का लाभ उठाते हुए।

एक बार इंस्टॉल हो जाने के बाद, यह दुर्भावनापूर्ण एप्लिकेशन शुरू में कोई स्पष्ट व्यवहार प्रदर्शित नहीं करता है। वास्तव में, इसकी प्रमुख विशेषताओं में से एक यह है कि इसके लिए बहुत कम प्रवेश परमिट की आवश्यकता होती है।आमतौर पर एसएमएस या बुनियादी कार्यों तक पहुंच को सीमित किया जाता है, ताकि अत्यधिक अनुमति अनुरोधों पर ध्यान केंद्रित करने वाले सुरक्षा समाधानों में संदेह पैदा न हो या अलर्ट ट्रिगर न हो।

हालांकि, पृष्ठभूमि में, सीडस्नैचर अपने हथियारों का जखीरा तैनात करना शुरू कर देता है। उन्नत तकनीकों का लाभ उठाते हुए, जैसे कि वेबव्यू में डायनामिक क्लास लोडिंग और स्टील्थी कंटेंट इंजेक्शनयह ऐप कमांड और कंट्रोल सर्वर से कार्यक्षमताओं को अपडेट कर सकता है, इसे तुरंत संशोधित किया जा सकता है, या पीड़ित द्वारा कुछ क्रिप्टोकरेंसी-संबंधित एप्लिकेशन खोलने पर ही मॉड्यूल को सक्रिय कर सकता है।

सबसे खतरनाक कार्यों में से एक है दिखाने की क्षमता बेहद विश्वसनीय फ़िशिंग ओवरले ये घोटाले जाने-माने वॉलेट ऐप्स, एक्सचेंजों या खाता पुनर्प्राप्ति स्क्रीन की नकल करते हैं। उपयोगकर्ता को लगता है कि वे वॉलेट को पुनर्स्थापित करने या अपनी पहचान सत्यापित करने के लिए अपना सीड वाक्यांश दर्ज कर रहे हैं, लेकिन वास्तव में, वे अपने सभी फंडों का नियंत्रण हमलावर को सौंप रहे होते हैं।

सीड फ्रेज़ के अलावा, सीडस्नैचर इंटरसेप्ट करता है दो-चरणीय प्रमाणीकरण (2FA) कोड प्राप्त करने के लिए आने वाले एसएमएस संदेशइससे उन एक्सचेंज सेवाओं या ट्रेडिंग प्लेटफॉर्म पर खातों को हैक करने का रास्ता खुल जाता है जो एसएमएस को दूसरे कारक के रूप में इस्तेमाल करते हैं।

मैलवेयर केवल क्रिप्टो जगत तक ही सीमित नहीं है: यह अन्य क्षेत्रों में भी मौजूद है। डिवाइस से डेटा निकालनाइसमें संपर्क, कॉल लॉग, मोबाइल फोन में संग्रहीत फाइलें और अन्य जानकारी शामिल है जो भविष्य में धोखाधड़ी के अभियानों या काले बाजारों में बेचने के लिए उपयोगी हो सकती है।

CYFIRMA द्वारा की गई जांच से पता चलता है कि SeedSnatcher के संचालक हो सकते हैं चीन में स्थित या चीनी भाषी समूहयह जानकारी मालवेयर से जुड़े नियंत्रण पैनलों और वितरण चैनलों में उस भाषा में दिए गए निर्देशों पर आधारित है।

सीडस्नैचर की विशेषाधिकार वृद्धि प्रक्रिया एक बहुत ही सुनियोजित पैटर्न का अनुसरण करती है: यह न्यूनतम अनुमतियों से शुरू होती है, और बाद में अधिक अनुमतियों का अनुरोध करती है। फ़ाइल मैनेजर, ओवरले, संपर्क, कॉल लॉग और अन्य संसाधनों तक पहुंचयह चरणबद्ध व्यवहार इसे उन अनुमान-आधारित सुरक्षा समाधानों से बचने में मदद करता है जो पहली बार बूट होने पर भारी मात्रा में अनुमति अनुरोधों द्वारा सक्रिय हो जाते हैं।

दृश्य छल, एसएमएस चोरी, क्लिपबोर्ड निगरानी और चुपचाप डेटा चोरी का संयोजन सीडस्नैचर को एक खतरनाक उपकरण बनाता है। यह उन सभी उपयोगकर्ताओं के लिए एक गंभीर खतरा है जो अपने मोबाइल डिवाइस से क्रिप्टोकरेंसी का लेन-देन करते हैं।विशेषकर यदि आप सीड वाक्यांशों पर आधारित गैर-कस्टोडियल वॉलेट का उपयोग करते हैं।

क्लेरैट: मॉड्यूलर स्पाइवेयर जो लगभग पूरी तरह से डिवाइस को नियंत्रित करता है

हाल ही में पता चला संस्करण दुरुपयोग को और बढ़ाने के लिए उल्लेखनीय है। पहुँच सेवाएँ और डिफ़ॉल्ट एसएमएस अनुमतियाँइसकी बदौलत, क्लेरैट कीस्ट्रोक्स को रिकॉर्ड कर सकता है, डिवाइस पर प्राप्त नोटिफिकेशन पढ़ सकता है, संवेदनशील एप्लिकेशन की निगरानी कर सकता है और स्क्रीन और ऑडियो दोनों को रिकॉर्ड कर सकता है, जिससे मोबाइल फोन एक वास्तविक निगरानी उपकरण में बदल जाता है।

यह मैलवेयर प्रदर्शित करने के लिए डिज़ाइन किया गया है ऐसे ओवरले जो सिस्टम अपडेट, काली स्क्रीन या रखरखाव विंडो का अनुकरण करते हैंइनका इस्तेमाल दुर्भावनापूर्ण गतिविधियों को छुपाने के लिए किया जाता है, जबकि हमलावर पृष्ठभूमि में डिवाइस को नियंत्रित करते रहते हैं। जब उपयोगकर्ता "सिस्टम अपडेट" स्क्रीन या इसी तरह की कोई स्क्रीन देखते हैं, तो वे अक्सर कुछ भी छुए बिना इंतजार करते हैं, जिससे साइबर अपराधियों को काम करने के लिए भरपूर समय मिल जाता है।

क्लेराट की एक और विशेष रूप से चिंताजनक विशेषता उसकी क्षमता है। डिवाइस को स्वचालित रूप से अनलॉक करेंचाहे आप पिन, पासवर्ड या पैटर्न का उपयोग करें, यह, स्क्रीन रिकॉर्डिंग और कीस्ट्रोक लॉगिंग के साथ मिलकर, उपयोगकर्ता को बार-बार अपने क्रेडेंशियल दोबारा दर्ज करने की आवश्यकता के बिना मोबाइल डिवाइस पर पूर्ण नियंत्रण प्रदान करता है।

हाल के अभियानों में, क्लेरैट कम से कम 25 क्षेत्रों में फैल चुका है। फ़िशिंग डोमेन जो YouTube जैसी वैध सेवाओं की नकल करते हैंयह ऐप कथित तौर पर "प्रो" संस्करण का प्रचार कर रहा है जिसमें बैकग्राउंड प्लेबैक और 4K HDR सपोर्ट की सुविधा है। उपयोगकर्ता इसे प्रीमियम संस्करण समझकर डाउनलोड कर लेते हैं और अनजाने में स्पाइवेयर इंस्टॉल कर लेते हैं।

भी पाए गए हैं ऐसे ऐप ड्रॉपर जो टैक्सी और पार्किंग ऐप होने का दिखावा करते हैं रूस जैसे क्षेत्रों में। ये नकली ऐप्स क्लेरैट के लिए इंस्टॉलेशन माध्यम के रूप में काम करते हैं, ठीक उसी तरह जैसे FvncBot द्वारा उपयोग किया जाता है, जहां एक दिखने में हानिरहित ऐप वास्तविक दुर्भावनापूर्ण घटक को डाउनलोड या सक्रिय कर देता है।

मैलवेयर उत्पन्न कर सकता है नकली और इंटरैक्टिव सूचनाएं जो सिस्टम या वैध एप्लिकेशन से आते हुए प्रतीत होते हैं, उनका उद्देश्य उपयोगकर्ता से प्रतिक्रियाएं (उदाहरण के लिए, कोड, ऑपरेशन की पुष्टि या अतिरिक्त अनुमतियां) एकत्र करना होता है, जबकि उपयोगकर्ता को यह पता नहीं होता कि वे हमलावर द्वारा नियंत्रित इंटरफेस के साथ बातचीत कर रहे हैं।

पिछले संस्करणों की तुलना में, क्लेरैट के नए संस्करण को हटाना कहीं अधिक कठिन है: इसके निरंतर बने रहने के तंत्र और इसके ओवरले और स्क्रीन लॉक के माध्यम से अपनी गतिविधि को छिपाने की क्षमता वे ऐसा करते हैं जिससे उपयोगकर्ता के पास एप्लिकेशन को अनइंस्टॉल करने या समय पर डिवाइस को बंद करने के कम अवसर होते हैं।

इन विशेषताओं के साथ-साथ यह संदेह भी है कि यह एपीटी समूहों से जुड़ा हो सकता है। राज्य प्रायोजन की संभावनाइन विशेषताओं के कारण क्लेरैट आज के सबसे खतरनाक मोबाइल स्पाइवेयर टूल में से एक बन गया है, खासकर उन कॉर्पोरेट वातावरणों में जहां बीवाईओडी (ब्रिंग योर ओन डिवाइस) नीतियां लागू हैं और जहां कर्मचारी आंतरिक सिस्टम तक पहुंचने के लिए अपने व्यक्तिगत मोबाइल फोन का उपयोग करते हैं।

सामान्य तकनीकें: पहुंच, ओवरले और उन्नत बचाव

हालांकि FvncBot, SeedSnatcher और ClayRat के उद्देश्य अलग-अलग हैं (पारंपरिक बैंकिंग, क्रिप्टोकरेंसी या उन्नत जासूसी), फिर भी उनमें कुछ समानताएं हैं। प्रमुख रणनीतियाँ और तकनीकें जो यह बताता है कि वे वास्तविक अभियानों में इतनी सफलता क्यों प्राप्त कर रहे हैं।

एन प्राइमर lugar, एल एंड्रॉइड एक्सेसिबिलिटी सेवाओं का दुरुपयोग यह आधुनिक मैलवेयर का आधार बन गया है। यह कार्यक्षमता, जिसे मूल रूप से विकलांग लोगों को डिवाइस के साथ इंटरैक्ट करने में मदद करने के लिए डिज़ाइन किया गया था, इंटरफ़ेस सामग्री को पढ़ने, स्क्रीन परिवर्तनों का पता लगाने और कार्यों को स्वचालित करने की अनुमति देती है, जो उपयोगिता और साइबर अपराध दोनों के लिए अत्यंत उपयोगी है।

एक अन्य साझा तत्व है गहन उपयोग। वैध अनुप्रयोगों का प्रतिरूपण करने के लिए ओवरलेकिसी असली ऐप—चाहे वह बैंक हो, क्रिप्टो वॉलेट हो या कोई लोकप्रिय सेवा—पर नकली स्क्रीन लगाकर हमलावर सीधे तौर पर लक्षित एप्लिकेशन को हैक किए बिना ही क्रेडेंशियल, व्यक्तिगत डेटा और उपयोगकर्ता द्वारा दर्ज की गई किसी भी जानकारी को हासिल कर सकते हैं।

इसके अलावा, ये ट्रोजन एकीकृत करते हैं उन्नत चोरी तकनीक इसके विश्लेषण और पहचान को जटिल बनाना; सीखना Google Play Protect के साथ मैलवेयर स्कैन करेंकोड को अस्पष्ट करना, apk0day जैसी बाहरी एन्क्रिप्शन सेवाएं, कमांड और कंट्रोल सर्वर से केवल आवश्यकता पड़ने पर डाउनलोड की जाने वाली कक्षाओं का गतिशील लोडिंग, और यहां तक कि ट्रैफिक को कम स्पष्ट दिखाने के लिए पूर्णांक-आधारित कमांड निर्देश भी शामिल हैं।

हमलावरों के सर्वरों के साथ संचार भी अधिक परिष्कृत हो गया है। ऑर्डर प्राप्त करने के लिए फायरबेस क्लाउड मैसेजिंग का उपयोग करना।रीयल-टाइम नियंत्रण के लिए वेबसॉकेट कनेक्शन की स्थापना और HTTP या HTTPS के माध्यम से डेटा की गोपनीय रूप से तस्करी के कारण दुर्भावनापूर्ण ट्रैफ़िक वैध ट्रैफ़िक के साथ घुलमिल जाता है, जिससे कॉर्पोरेट या घरेलू नेटवर्क पर इसकी पहचान करना मुश्किल हो जाता है।

इन सभी को एक साथ मिलाया गया है सामाजिक इंजीनियरिंग का बेहद परिष्कृत कार्य।ये ऐप्स गूगल प्ले के घटकों, सुरक्षा अनुप्रयोगों, आधिकारिक बैंकिंग उपकरणों, यूट्यूब जैसे लोकप्रिय प्लेटफार्मों के "प्रो" संस्करणों, या टैक्सी और पार्किंग जैसी मांग वाली सेवाओं के रूप में खुद को प्रस्तुत करते हैं। इनका उद्देश्य उपयोगकर्ता की सतर्कता को कम करना और उन्हें बिना सोचे-समझे महत्वपूर्ण अनुमतियाँ देने के लिए राजी करना है।

अपने एंड्रॉइड डिवाइस को FvncBot, SeedSnatcher और ClayRat से कैसे सुरक्षित रखें

कोई भी उपाय अचूक नहीं होता, लेकिन बुनियादी अच्छी प्रथाओं को अपनाने से इस तरह के अभियानों के झांसे में आने की संभावना काफी कम हो जाती है। FvncBot, SeedSnatcher या ClayRatकई हमले उपयोगकर्ता की लापरवाही और खराब तरीके से कॉन्फ़िगर किए गए उपकरणों पर निर्भर करते हैं।

पहला नियम स्पष्ट है लेकिन सबसे प्रभावी भी है: केवल विश्वसनीय स्रोतों से ही एप्लिकेशन इंस्टॉल करें।जैसे कि गूगल प्ले या प्रदाताओं की आधिकारिक वेबसाइटें, और खतरनाक ऐप्स की सूची की समीक्षा करेंआजकल, फ़ोरम, टेलीग्राम चैनल या ऐसे पेजों पर दिए गए लिंक से APK डाउनलोड करना, जो सशुल्क ऐप्स के मुफ्त संस्करण देने का वादा करते हैं, मोबाइल मैलवेयर के प्रवेश के मुख्य मार्गों में से एक है।

यह भी आवश्यक है अपने ऑपरेटिंग सिस्टम और एप्लिकेशन को हमेशा अपडेट रखें।गूगल और निर्माता अक्सर सुरक्षा कमजोरियों को ठीक करने वाले पैच जारी करते हैं, और कई ट्रोजन ज्ञात खामियों पर निर्भर करते हैं जिन्हें नवीनतम उपलब्ध संस्करणों को स्थापित करके आसानी से टाला जा सकता है।

पासवर्ड और प्रमाणीकरण प्रबंधन एक और महत्वपूर्ण बिंदु है। प्रत्येक सेवा के लिए अद्वितीय, मजबूत कुंजियाँ, और दो-चरणीय प्रमाणीकरण (2FA) को सक्षम करना बैंकिंग, ईमेल, सोशल नेटवर्क और क्रिप्टो प्लेटफॉर्म में यह सुरक्षा की एक अतिरिक्त परत जोड़ता है, हालांकि, जैसा कि हमने देखा है, कुछ मैलवेयर एसएमएस के माध्यम से 2FA कोड चुराने की भी कोशिश करते हैं।

जब भी संभव हो, विकल्प चुनना उचित है अधिक मजबूत 2FA विधियाँपारंपरिक एसएमएस के बजाय प्रमाणीकरण ऐप्स या भौतिक सुरक्षा कुंजी जैसे उपकरणों का उपयोग करें, क्योंकि पारंपरिक एसएमएस को सीडस्नैचर जैसे मैलवेयर द्वारा आसानी से इंटरसेप्ट किया जा सकता है।

एक और महत्वपूर्ण सुझाव यह है कि शांतिपूर्वक समीक्षा करें। अनुप्रयोगों द्वारा अनुरोधित अनुमतियाँअगर कोई ऐप, जो वीडियो देखने, मौसम की जानकारी लेने या पार्किंग व्यवस्था करने का दावा करता है, आपको एसएमएस संदेशों, एक्सेसिबिलिटी सेवाओं, संपर्कों या डिवाइस एडमिनिस्ट्रेशन तक पूरी पहुंच प्रदान करता है, तो सावधान रहें। कई हमले उपयोगकर्ताओं द्वारा नियमों और शर्तों को पढ़े बिना "स्वीकार करें" पर टैप करने पर निर्भर करते हैं।

कॉर्पोरेट वातावरण में, संगठनों को लागू करना चाहिए मोबाइल डिवाइस प्रबंधन (एमडीएम) नीतियांअनधिकृत ऐप्स की स्थापना को सीमित करें और संदिग्ध गतिविधियों का पता लगाने के लिए नियमित ऑडिट करें। इसके अलावा, कर्मचारियों को एसएमएस, ईमेल या इंस्टेंट मैसेजिंग के माध्यम से होने वाले फ़िशिंग प्रयासों को पहचानने के लिए प्रशिक्षित करना आवश्यक है।

उन्नत उपयोगकर्ताओं के लिए, उपरोक्त उपायों को इनके साथ संयोजित करना सहायक हो सकता है। विशिष्ट मोबाइल सुरक्षा समाधान ये उपकरण ऐप के व्यवहार का विश्लेषण करते हैं, पहुंच संबंधी उल्लंघनों का पता लगाते हैं और डिवाइस की अखंडता की लगातार जांच करते हैं। हालांकि, ऐप्स को इंस्टॉल और उपयोग करते समय कोई भी तकनीकी उपकरण सामान्य ज्ञान का स्थान नहीं ले सकता।

व्यक्तिगत स्तर पर, कुछ आदतों को अपनाना उचित है: अनपेक्षित लिंक से सावधान रहें और उन वेबसाइटों के यूआरएल की जांच करें जो क्रेडेंशियल मांगती हैं।अज्ञात ऐप्स इंस्टॉल करने के बाद दिखाई देने वाली स्क्रीन पर सीड वाक्यांश या बैंक विवरण दर्ज करने से बचें और यदि संदेह हो, तो आधिकारिक चैनलों के माध्यम से सीधे संबंधित संस्था या सेवा से संपर्क करें।

FvncBot, SeedSnatcher और नए रूप में सामने आए ClayRat का उदय यह दर्शाता है कि अब युद्ध का मैदान मोबाइल पर आ गया है। डेस्कटॉप कंप्यूटर की तरह ही या उससे भी अधिक तीव्रता के साथ। एक्सेसिबिलिटी के दुरुपयोग, परिष्कृत ओवरले, वीएनसी-प्रकार के रिमोट कंट्रोल और उन्नत सुरक्षा उपायों के संयोजन का मतलब है कि किसी भी चूक के परिणामस्वरूप धन की चोरी, वॉलेट खाली होना या किसी के डिजिटल जीवन का पूर्ण खुलासा हो सकता है। यह पहचानना कि फोन एक प्रमुख लक्ष्य है और तदनुसार कार्य करना—हम क्या इंस्टॉल करते हैं, हम कौन सी अनुमतियाँ देते हैं और हम अपने खातों का प्रबंधन कैसे करते हैं, इस बारे में सावधान रहना—दैनिक सुरक्षा का एक महत्वपूर्ण तत्व बन गया है।