ആൻഡ്രോയിഡ് ഉപഭോക്താക്കളെ ഹാക്കർമാർ ലക്ഷ്യമിടുന്നു..

സെർബറസ് ആൻഡ്രോയിഡ് ബാങ്കിംഗ് ട്രോജൻ്റെ പുതിയ വകഭേദം ഉപയോഗിച്ച് ആൻഡ്രോയിഡ് ഉപയോക്താക്കളെ ഭീഷണിപ്പെടുത്തുന്ന രീതിയിൽ ഹാക്കർമാർ സജീവമായി ലക്ഷ്യമിടുന്നു. 

2019 മുതൽ വികസിപ്പിച്ചുകൊണ്ടിരിക്കുന്ന ക്ഷുദ്രവെയർ, കമാൻഡ് ആൻഡ് കൺട്രോൾ സെർവറുകൾ ചലനാത്മകമായി മാറുന്നതിലേക്ക് വികസിച്ചു, കൂടാതെ അതിൻ്റെ സങ്കീർണ്ണമായ അണുബാധ ശൃംഖല കണ്ടെത്തലും നീക്കംചെയ്യലും സങ്കീർണ്ണമാക്കുന്നു, സൈബിൾ റിസർച്ച് ആൻഡ് ഇൻ്റലിജൻസ് ലാബ്സ് (CRIL) റിപ്പോർട്ട് ചെയ്യുന്നു.

സെപ്തംബർ മുതൽ സൈബർ കുറ്റവാളികൾ അപകടകരമായ ആക്രമണങ്ങൾ വർധിപ്പിക്കുകയാണ്.

ആൻ്റിവൈറസ് എഞ്ചിനുകളൊന്നും സെർബറസിൻ്റെ റീടൂൾ ചെയ്ത പതിപ്പ് കണ്ടെത്തിയിട്ടില്ല. കണ്ടെത്തൽ ഒഴിവാക്കാൻ, ട്രോജനിൽ ഇപ്പോൾ സെഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഡ്രോപ്പറുകൾ, നേറ്റീവ് ലൈബ്രറികൾ, എൻക്രിപ്റ്റ് ചെയ്ത പേലോഡുകൾ എന്നിവ ഉൾപ്പെടുന്നു. ഇത് കീലോഗിംഗ്, ഓവർലേ ആക്രമണങ്ങൾ, വിഎൻസി (വെർച്വൽ നെറ്റ്‌വർക്ക് കമ്പ്യൂട്ടിംഗ്, ഒരു റിമോട്ട് സ്‌ക്രീൻ പങ്കിടൽ പ്രോട്ടോക്കോൾ) എന്നിവ ഉപയോഗിക്കുന്നു.

കമാൻഡ് ആൻഡ് കൺട്രോൾ (C&C) സെർവറുകൾ മാറ്റുന്നതിന് ഒരു ഡൊമെയ്ൻ ജനറേഷൻ അൽഗോരിതം ഉപയോഗിച്ച് ഈ കാമ്പെയ്ൻ ഫ്ലൈയിൽ ഡൊമെയ്‌നുകൾ സൃഷ്ടിക്കുന്നു.

തികച്ചും പുതിയൊരു മാൽവെയർ വേരിയൻ്റിലേക്കാണ് തങ്ങൾ നോക്കുന്നതെന്ന് സൈബിൾ ഗവേഷകർ ആദ്യം സംശയിച്ചു. ഒരു ആഴത്തിലുള്ള വിശകലനം, 2019-ൽ ആദ്യമായി തിരിച്ചറിഞ്ഞ സെർബെറസുമായി കോഡ് സമാനതകൾ വെളിപ്പെടുത്തി. ടെലിഗ്രാം ബോട്ട് ഐഡിയുടെ പേരിലാണ് അവർ പുതിയ കാമ്പെയ്‌നെ ErrorFather എന്ന് വിളിച്ചത്.

"സെഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഡ്രോപ്പറുകളും അവയുടെ അനുബന്ധ പേലോഡുകളും ഉൾപ്പെടെ ErrorFather കാമ്പെയ്‌നുമായി ബന്ധപ്പെട്ട ഏകദേശം 15 സാമ്പിളുകൾ ഞങ്ങൾ തിരിച്ചറിഞ്ഞിട്ടുണ്ട്," ഗവേഷകർ പറഞ്ഞു.

ആക്രമണങ്ങൾ നടന്നുകൊണ്ടിരിക്കുകയാണെന്നും ചില C&C സെർവറുകൾ ഇപ്പോഴും സജീവമാണെന്നും അവർ അഭിപ്രായപ്പെട്ടു.

സോഷ്യൽ എഞ്ചിനീയറിംഗ് വശീകരണങ്ങളിൽ വീഴുന്ന - ഒരു തെറ്റ് ചെയ്യുന്ന ഉപയോക്താക്കളെയാണ് ആക്രമണകാരികൾ ആശ്രയിക്കുന്നത്. ക്ഷുദ്രവെയർ നിയമാനുസൃതമായ ബാങ്കിംഗ് അല്ലെങ്കിൽ പ്രാമാണീകരണ ആപ്പുകൾ അല്ലെങ്കിൽ അപ്‌ഡേറ്റുകളായി മാറുകയും Google Play, Chrome ഐക്കണുകൾ ഉപയോഗിക്കുകയും ചെയ്യുന്നു. മാൽവെയർ വിതരണത്തിനായി ആക്രമണകാരികൾ ഫിഷിംഗ് സൈറ്റുകൾ ഉപയോഗിക്കുന്നു.

പുതിയ ഫോർക്ക് എങ്ങനെ വ്യത്യസ്തമാണ്?

സാമ്പത്തിക തട്ടിപ്പിന് ഉപയോഗിക്കുന്ന വാടകയ്ക്കുള്ള ഉപകരണമായി 2019 ൽ ഭൂഗർഭ ഫോറങ്ങളിൽ സെർബറസ് ആൻഡ്രോയിഡ് ബാങ്കിംഗ് ട്രോജൻ ആദ്യമായി തിരിച്ചറിഞ്ഞു. നൂറുകണക്കിന് സാമ്പത്തിക, സോഷ്യൽ മീഡിയ ആപ്പുകളെ ലക്ഷ്യമിട്ടുള്ള ചില കാമ്പെയ്‌നുകൾ ഉപയോഗിച്ച് ചോർന്ന കോഡ്ബേസ് ഒന്നിലധികം ഫോർക്കുകളിലേക്ക് വേഗത്തിൽ വികസിപ്പിച്ചു.

നിലവിലെ പ്രചാരണങ്ങൾ ഒരു മൾട്ടി-സ്റ്റേജ് ഡ്രോപ്പർ ഉപയോഗിക്കുന്നു. ആദ്യ ഘട്ടം അതിൻ്റെ അസറ്റുകളിൽ നിന്ന് രണ്ടാം ഘട്ടം ഇറക്കി ഇൻസ്റ്റാൾ ചെയ്യുന്ന ഒരു ആപ്ലിക്കേഷനാണ്. നിയന്ത്രിത ക്രമീകരണങ്ങൾ മറികടന്ന് ഇത് സെഷൻ അടിസ്ഥാനമാക്കിയുള്ള ഇൻസ്റ്റാളേഷൻ സാങ്കേതികത ഉപയോഗിക്കുന്നു.

രണ്ടാം ഘട്ട ഡ്രോപ്പർ അപകടകരമായ അനുമതികളും സേവനങ്ങളും അഭ്യർത്ഥിക്കുന്നു, എന്നാൽ കോഡ് നടപ്പിലാക്കുന്നത് കാണുന്നില്ല, ഇത് ക്ഷുദ്രവെയർ നിറഞ്ഞിരിക്കുന്നുവെന്ന് സൂചിപ്പിക്കുന്നു. അന്തിമ പേലോഡ് നിർവ്വഹണത്തിനായി ഇത് ഉടൻ തന്നെ ഒരു ഫയൽ ലോഡ് ചെയ്യുകയും ഡീക്രിപ്റ്റ് ചെയ്യുകയും ചെയ്യുന്നു.

അവസാന ഘട്ടത്തിൽ കീലോഗിംഗ്, ഓവർലേ, റിമോട്ട് കമ്മ്യൂണിക്കേഷൻ, വ്യക്തിഗത ഡാറ്റ ശേഖരണം എന്നിവയ്ക്കുള്ള ക്ഷുദ്രമായ പ്രവർത്തനങ്ങൾ അടങ്ങിയിരിക്കുന്നു. പ്രൈമറി സെർവർ ലഭ്യമല്ലാത്തപ്പോൾ C&C സെർവറുകൾക്കിടയിൽ മാറാൻ ഇത് ഒരു ഡൊമെയ്ൻ ജനറേഷൻ അൽഗോരിതം ഉപയോഗിക്കുന്നു. VirusTotal-ലെ ഒരു ആൻ്റിവൈറസ് എഞ്ചിൻ പോലും അന്തിമ പേലോഡ് ഫയൽ കണ്ടെത്തിയില്ല.

പ്രധാന C&C സെർവറുമായി ഇൻസ്റ്റാളുചെയ്‌ത് ഒരു കണക്ഷൻ സ്ഥാപിച്ച ശേഷം, ക്ഷുദ്രവെയറിന് നാല് അധിക C&C സെർവറുകളുടെ ഒരു ലിസ്റ്റ് ലഭിക്കുന്നു," ഗവേഷകർ പറഞ്ഞു.

ക്ഷുദ്രവെയർ എൻക്രിപ്റ്റ് ചെയ്ത ആശയവിനിമയങ്ങൾ ഉപയോഗിക്കുകയും സമയത്തിനും തീയതിക്കുമായി ഇസ്താംബുൾ സമയമേഖല ഉപയോഗിക്കുകയും ചെയ്യുന്നു.

സെർബറസ് ഫോർക്ക് ഉപകരണത്തിൽ നിരവധി ക്ഷുദ്ര പ്രവർത്തനങ്ങൾ നടത്തുന്നു. ഇത് കീ ലോഗുകൾ, ആപ്പ് ലിസ്റ്റുകൾ, കോൺടാക്റ്റുകൾ, ക്യാപ്‌ചർ ചെയ്‌ത സ്‌ക്രീൻഷോട്ടുകൾ, ഉപകരണ നില, മറ്റ് ലോഗുകളും ഡാറ്റയും പോലുള്ള ഡാറ്റ അയയ്‌ക്കുന്നു. ഇതിന് SMS മോഷ്‌ടിക്കാനോ സന്ദേശങ്ങൾ അയയ്‌ക്കാനോ ഓഡിയോ റെക്കോർഡ് ചെയ്യാനും കോളുകൾ ചെയ്യാനും കഴിയും.

സാധ്യതയുള്ള ടാർഗെറ്റ് (ആപ്പ്) തിരിച്ചറിയുമ്പോൾ, ലോഗിൻ ക്രെഡൻഷ്യലുകളോ ക്രെഡിറ്റ് കാർഡ് വിശദാംശങ്ങളോ നൽകുന്നതിന് ഇരയെ കബളിപ്പിക്കുന്നതിന് നിയമാനുസൃതമായ ആപ്പിന് മുകളിൽ ക്ഷുദ്രവെയർ ഒരു വ്യാജ ഫിഷിംഗ് പേജ് ഓവർലേ ചെയ്യുന്നു.

ക്ഷുദ്രവെയറിന് ഉപയോക്തൃ ഇടപെടൽ അനുകരിക്കാനും ക്ലിക്കുകൾ ചെയ്യാനും ഡാറ്റ ഇൻപുട്ട് ചെയ്യാനും ഹാക്കിംഗ് പൂർത്തിയാകുമ്പോൾ സ്വയം അൺഇൻസ്റ്റാൾ ചെയ്യാനും കഴിയും.

പ്രതിരോധിക്കാൻ കഴിയുന്നത് 

1. ഔദ്യോഗിക ഉറവിടങ്ങളിൽ നിന്ന് ഔദ്യോഗിക ആപ്പുകൾ മാത്രം ഡൗൺലോഡ് ചെയ്യുക..

2. ഗൂഗിൾ പ്ലേ പ്രൊട്ടക്റ്റ് പ്രവർത്തനക്ഷമമാക്കിയിട്ടുണ്ടെന്ന് ഉറപ്പാക്കുക..

3. അനുമതികളിൽ ശ്രദ്ധാലുവായിരിക്കുക..

 4 എസ്എംഎസ് വഴിയോ ഇമെയിലുകൾ വഴിയോ ഫോണിലേക്ക് നൽകുന്ന സംശയാസ്പദമായ ലിങ്കുകളിൽ ക്ലിക്ക് ചെയ്യാതിരിക്കുക തുടങ്ങിയ മികച്ച സുരക്ഷാ സമ്പ്രദായങ്ങൾ പാലിക്കാൻ സൈബിൾ ഗവേഷകർ ശുപാർശ ചെയ്യുന്നു. .