Herodotus মোবাইল ম্যালওয়্যার
নিরাপত্তা গবেষকরা হেরোডোটাস নামে একটি নতুন অ্যান্ড্রয়েড ব্যাংকিং ট্রোজান আবিষ্কার করেছেন যা সক্রিয় ডিভাইস-টেকওভার (DTO) প্রচারণায় ব্যবহৃত হচ্ছে। ইতালি এবং ব্রাজিলের ব্যবহারকারীদের লক্ষ্য করে প্রাথমিক কার্যকলাপ লক্ষ্য করা গেছে এবং বিশ্লেষণে দেখা গেছে যে ম্যালওয়্যারটি ম্যালওয়্যার-অ্যাজ-এ-সার্ভিস (MaaS) হিসাবে অফার করা হচ্ছে।
সুচিপত্র
বোগাস ক্রোম ড্রপার, স্মিশিং, এবং সাইড-লোডিং
অপারেটররা ড্রপার অ্যাপ্লিকেশনের মাধ্যমে হেরোডোটাস বিতরণ করে যা বৈধ অ্যাপের ছদ্মবেশ ধারণ করে (যারা com.cd3.app এর মতো প্যাকেজ নাম সহ গুগল ক্রোম বলে পরিচিত) এবং এসএমএস ফিশিং এবং অন্যান্য সোশ্যাল-ইঞ্জিনিয়ারিং ভেক্টরের মাধ্যমে ভুক্তভোগীদের প্রলুব্ধ করে। ড্রপার ইনস্টল হয়ে গেলে (প্রায়শই সাইড-লোডিংয়ের মাধ্যমে), এটি ক্ষতিকারক পেলোড আনে এবং ইনস্টল করে।
হেরোডোটাসের ক্ষমতা
- স্ক্রিন নিয়ন্ত্রণ করতে, অস্বচ্ছ ওভারলে উপস্থাপন করতে এবং ব্যাংকিং এবং ক্রিপ্টো অ্যাপগুলিতে জাল লগইন পৃষ্ঠা প্রদর্শন করতে অ্যান্ড্রয়েড অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহার করুন।
- স্ক্রিনে থাকা কন্টেন্ট এবং এসএমএস বার্তা (2FA কোড সহ) আটকে দিন এবং এক্সফিল্ট্রেট করুন।
- নিজেকে অতিরিক্ত অনুমতি দেয়, লক-স্ক্রিন পিন বা প্যাটার্ন ক্যাপচার করে, রিমোট APK ইনস্টল করে, এবং কেবল স্ট্যাটিক শংসাপত্র চুরি করার পরিবর্তে লাইভ সেশনের মধ্যেই টিকে থাকে।
- অ্যাকাউন্ট টেকওভার করার জন্য লগ কীস্ট্রোক, স্ট্রিম স্ক্রিন এবং রিমোট ইনপুট অ্যাকশন সম্পাদন করুন।
আচরণগত সনাক্তকারীদের পরাজিত করার জন্য দূরবর্তী জালিয়াতিকে 'মানবীকরণ' করা হচ্ছে
হেরোডোটাসের অসাধারণ বৈশিষ্ট্য হলো মানুষের মিথস্ক্রিয়ার সময় অনুকরণ করার প্রচেষ্টা। ম্যালওয়্যারটি স্বয়ংক্রিয় ইনপুট ইভেন্টগুলির মধ্যে এলোমেলো বিলম্ব যোগ করতে পারে (প্রতিবেদিত বিলম্বের পরিসর ~300–3,000 মিলিসেকেন্ড) যাতে রিমোট টাইপিংকে প্রকৃত ব্যবহারকারীর মতো দেখায় এবং মেশিনের গতির মতো দেখায় না - সময় বা আচরণ-ভিত্তিক জালিয়াতি-বিরোধী এবং বায়োমেট্রিক সনাক্তকরণকে এড়িয়ে যাওয়ার একটি স্পষ্ট প্রচেষ্টা। এই টাইমিং র্যান্ডমাইজেশনকে প্রাথমিকভাবে ইনপুট টেম্পো এবং কীস্ট্রোক ক্যাডেন্সের উপর নির্ভরশীল প্রতিরক্ষাকে পরাজিত করার একটি ইচ্ছাকৃত প্রচেষ্টা হিসাবে বর্ণনা করা হচ্ছে।
ব্রোকওয়েলের সাথে সংযোগ
বিশ্লেষণে দেখা যায় যে হেরোডোটাস কেবল ব্রোকওয়েলের একটি নতুন সংস্করণ নয়, বরং এতে ব্রোকওয়েল এবং অন্যান্য পরিবারের পুনঃব্যবহৃত কৌশল এবং কোড টুকরো (অস্পষ্ট পদ্ধতি এবং 'BRKWL_JAVA' এর মতো মার্কারগুলির মতো আক্ষরিক উল্লেখ সহ) রয়েছে বলে মনে হচ্ছে - কার্যকরভাবে পরিচিত উপাদানগুলিকে একটি নতুন, সক্রিয়ভাবে বিকশিত স্ট্রেনে সেলাই করা।
ভৌগোলিক পরিধি এবং লক্ষ্যমাত্রা
গবেষকরা মার্কিন যুক্তরাষ্ট্র, তুরস্ক, যুক্তরাজ্য এবং পোল্যান্ডের ব্যাংক এবং ক্রিপ্টোকারেন্সি ওয়ালেট এবং এক্সচেঞ্জের জন্য তৈরি ওভারলে পৃষ্ঠাগুলি উদ্ধার করেছেন - প্রমাণ করে যে অপারেটররা প্রাথমিক ইতালি/ব্রাজিল দর্শনের বাইরেও লক্ষ্য ভৌগোলিক এবং উল্লম্ব বিস্তৃত করছে। প্রকল্পটি সক্রিয়ভাবে উন্নয়নাধীন এবং আন্ডারগ্রাউন্ড ফোরামের মাধ্যমে অন্যান্য জালিয়াতিকারীর কাছে বাজারজাত করা হচ্ছে।
অগ্রাধিকারমূলক ব্যবহারিক পদক্ষেপ
- শুধুমাত্র আচরণ-বিরোধী জালিয়াতি সমাধানগুলিকে একটি স্তরযুক্ত প্রতিরক্ষার একটি সংকেত হিসাবে বিবেচনা করুন: ডিভাইসের অবস্থান, অখণ্ডতা পরীক্ষা (অ্যাক্সেসিবিলিটি অপব্যবহার এবং সাইড-লোডেড অ্যাপ সনাক্তকরণ), নেটওয়ার্ক টেলিমেট্রি এবং লেনদেন ঝুঁকি স্কোরিং একত্রিত করুন।
- সাইড-লোডিং এবং অননুমোদিত প্যাকেজ ইনস্টলেশন সনাক্ত এবং ব্লক করুন; সন্দেহজনক ওভারলে উইন্ডো এবং এন্ডপয়েন্টগুলিতে অ্যাক্সেসিবিলিটি পরিষেবা ব্যবহারের জন্য নজরদারি করুন।
- শক্তিশালী মাল্টি-ফ্যাক্টর প্রমাণীকরণ (যেখানে সম্ভব এসএমএসের মাধ্যমে পুশ বা হার্ডওয়্যার টোকেন), ডিভাইস শক্ত করা এবং সময়মত ওএস/অ্যাপ আপডেট প্রয়োগ করুন।
- লাইভ সেশনের সময় অপব্যবহার হতে পারে এমন উচ্চ-ঝুঁকিপূর্ণ কর্মকাণ্ডের জন্য লেনদেন থ্রোটল এবং সেকেন্ডারি যাচাইকরণ বাস্তবায়ন করুন।
টেকনিক্যাল টেকওয়ে
সাধারণ ক্রেডেনশিয়াল-হার্ভেস্টিং ট্রোজানের বিপরীতে, হেরোডোটাস লাইভ সেশনের সময় সক্রিয় থাকার জন্য এবং দূরবর্তী, সেশন-সংরক্ষণকারী অ্যাকাউন্ট টেকওভারগুলি সম্পাদন করার জন্য ডিজাইন করা হয়েছে। এটি রিয়েল-টাইম সনাক্তকরণ এবং সেশনে প্রশমন (উদাহরণস্বরূপ, ওভারলে সনাক্তকরণ, ডিভাইসের অবস্থার সাথে অসঙ্গতিপূর্ণ অস্বাভাবিক ইনপুট প্যাটার্ন, বা একযোগে স্ক্রিন স্ট্রিমিং) বিশেষভাবে গুরুত্বপূর্ণ করে তোলে।
