SharkBot मैलवेयर का एक नया और उन्नत संस्करण Google के Play Store पर वापस आ गया है, जिसमें हजारों इंस्टॉलेशन वाले ऐप्स के माध्यम से Android उपयोगकर्ताओं के बैंकिंग लॉगिन को लक्षित किया गया है।

मैलवेयर दो एंड्रॉइड ऐप में मौजूद था जिसमें Google की स्वचालित समीक्षा में सबमिट किए जाने पर कोई दुर्भावनापूर्ण कोड नहीं था।

हालाँकि, उपयोगकर्ता द्वारा ड्रॉपर ऐप इंस्टॉल करने और लॉन्च करने के बाद होने वाले अपडेट में शार्कबॉट को जोड़ा जाता है।

एनसीसी ग्रुप के हिस्से फॉक्स आईटी के एक ब्लॉग पोस्ट के अनुसार, दो दुर्भावनापूर्ण ऐप “मिस्टर फोन क्लीनर” और “काइलवी मोबाइल सिक्योरिटी” हैं, जो सामूहिक रूप से 60,000 इंस्टॉलेशन की गिनती करते हैं।

SharkBot को छोड़ने वाले दो एप्लिकेशन
SharkBot को छोड़ने वाले दो एप्लिकेशन (फॉक्स आईटी)

Google Play से दो एप्लिकेशन हटा दिए गए हैं, लेकिन जिन उपयोगकर्ताओं ने उन्हें इंस्टॉल किया है, वे अभी भी जोखिम में हैं और उन्हें मैन्युअल रूप से हटा देना चाहिए।

शार्कबॉट विकसित हुआ

एक इतालवी ऑनलाइन धोखाधड़ी प्रबंधन और रोकथाम कंपनी क्लीफ़ी के मैलवेयर विश्लेषकों ने अक्टूबर 2021 में शार्कबॉट की खोज की। मार्च 2022 में, एनसीसी समूह ने पाया कि इसे Google Play पर ले जाने वाले पहले ऐप्स.

उस समय, मैलवेयर ओवरले हमले कर सकता था, कीलॉगिंग के माध्यम से डेटा चुरा सकता था, एसएमएस संदेशों को इंटरसेप्ट कर सकता था, या एक्सेसिबिलिटी सेवाओं का दुरुपयोग करके थ्रेट एक्टर्स को होस्ट डिवाइस का पूरा रिमोट कंट्रोल दे सकता था।

मई 2022 में, शोधकर्ताओं ने थ्रेटफैब्रिक ने शार्कबॉट 2 को देखा जो एक डोमेन जनरेशन एल्गोरिथम (DGA), एक अपडेटेड कम्युनिकेशन प्रोटोकॉल और एक पूरी तरह से रिफैक्टेड कोड के साथ आया था।

फॉक्स आईटी के शोधकर्ताओं ने 22 अगस्त को मैलवेयर (2.25) के एक नए संस्करण की खोज की, जो बैंक खाता लॉगिन से कुकीज़ चुराने की क्षमता जोड़ता है।

इसके अतिरिक्त, नए ड्रॉपर ऐप्स पहले की तरह एक्सेसिबिलिटी सेवाओं का दुरुपयोग नहीं करते हैं।

“एक्सेसिबिलिटी अनुमतियों का दुरुपयोग करते हुए, ड्रॉपर शार्कबॉट को स्थापित करने के लिए यूआई में दिखाए गए सभी बटनों को स्वचालित रूप से क्लिक करने में सक्षम था। लेकिन शार्कबॉट के लिए ड्रॉपर के इस नए संस्करण में ऐसा नहीं है।” फॉक्स आईटी

“इसके बजाय ड्रॉपर C2 सर्वर से सीधे शार्कबॉट की एपीके फ़ाइल प्राप्त करने का अनुरोध करेगा। इसे ‘ऑटोमैटिक ट्रांसफर सिस्टम्स’ (एटीएस) सुविधाओं का उपयोग करके मैलवेयर स्थापित करने के चरणों के साथ एक डाउनलोड लिंक प्राप्त नहीं होगा, जो सामान्य रूप से करता था, “फॉक्स आईटी कहते हैं।

SharkBot डाउनलोड करने के लिए POST अनुरोध
शार्कबॉट डाउनलोड करने के लिए एन्क्रिप्टेड POST अनुरोध (फॉक्स आईटी)

एक बार ड्रॉपर ऐप इंस्टॉल हो जाने के बाद दुर्भावनापूर्ण शार्कबॉट एपीके फ़ाइल का अनुरोध करने वाले कमांड और कंट्रोल (सी 2) सर्वर से संपर्क करता है। ड्रॉपर तब उपयोगकर्ता को अलर्ट करता है कि एक अपडेट उपलब्ध है और उन्हें एपीके इंस्टॉल करने और सभी आवश्यक अनुमतियां देने के लिए कहता है।

स्वचालित पहचान को और अधिक कठिन बनाने के लिए, SharkBot RC4 एल्गोरिथम का उपयोग करके अपने हार्ड-कोडेड कॉन्फ़िगरेशन को एन्क्रिप्टेड रूप में संग्रहीत करता है।

कुकी-प्रेमी शार्क

शार्कबॉट 2.25 पर ओवरले, एसएमएस इंटरसेप्ट, रिमोट कंट्रोल और कीलॉगिंग सिस्टम अभी भी मौजूद हैं, लेकिन उनके ऊपर एक कुकी लकड़हारा जोड़ा गया है।

कुकीज़ चुराने के लिए नया कार्य
कुकीज़ चुराने के लिए नया कार्य (फॉक्स आईटी)

जब पीड़ित अपने बैंक खाते में लॉग इन करता है, तो शार्कबॉट एक नए कमांड (“लॉग्सकुकी”) का उपयोग करके उनकी वैध सत्र कुकी को छीन लेता है और इसे C2 को भेजता है।

कुकीज खातों को संभालने के लिए मूल्यवान हैं क्योंकि उनमें सॉफ़्टवेयर और स्थान पैरामीटर होते हैं जो फ़िंगरप्रिंटिंग चेक को बायपास करने में मदद करते हैं या, कुछ मामलों में, उपयोगकर्ता प्रमाणीकरण टोकन स्वयं।

जांच के दौरान, फॉक्स आईटी ने यूरोप (स्पेन, ऑस्ट्रिया, जर्मनी, पोलैंड, ऑस्ट्रिया) और अमेरिका में नए शार्कबॉट अभियान देखे। लक्ष्य

उपलब्ध मैलवेयर के एक बेहतर संस्करण के साथ, फॉक्स आईटी को शार्कबॉट अभियान जारी रखने और मैलवेयर के विकास की उम्मीद है।

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.