मेडुसा मोबाइल मैलवेयर
मेडुसा बैंकिंग ट्रोजन लगभग एक साल तक कम प्रोफ़ाइल बनाए रखने के बाद फिर से सामने आया है, जिसने फ्रांस, इटली, संयुक्त राज्य अमेरिका, कनाडा, स्पेन, यूनाइटेड किंगडम और तुर्की सहित देशों को निशाना बनाया है। मई से निगरानी की जा रही इस नई गतिविधि में कम अनुमतियों की आवश्यकता वाले सुव्यवस्थित वेरिएंट शामिल हैं और समझौता किए गए उपकरणों से सीधे लेनदेन शुरू करने के उद्देश्य से नई कार्यक्षमताएँ पेश की गई हैं।
मेडुसा बैंकिंग ट्रोजन को टैंगलबॉट के नाम से भी जाना जाता है, यह 2020 में खोजा गया एक एंड्रॉइड मालवेयर-एज़-ए-सर्विस (MaaS) है। यह मैलवेयर कीलॉगिंग, स्क्रीन मैनिपुलेशन और एसएमएस कंट्रोल जैसी क्षमताएं प्रदान करता है। एक ही नाम साझा करने के बावजूद, यह ऑपरेशन रैनसमवेयर समूह और मिराई -आधारित बॉटनेट से अलग है जो डिस्ट्रिब्यूटेड डेनियल-ऑफ-सर्विस (DDoS) हमलों के लिए जाना जाता है।
विषयसूची
मेडुसा मोबाइल मैलवेयर का इस्तेमाल करके धमकी भरे अभियान
मेडुसा के नवीनतम वेरिएंट की पहली झलक जुलाई 2023 में मिली थी, जब शोधकर्ताओं ने उन्हें ड्रॉपर एप्लिकेशन के माध्यम से मैलवेयर वितरित करने के लिए एसएमएस फ़िशिंग ('स्मिशिंग') का लाभ उठाने वाले अभियानों में देखा था। इन वेरिएंट का उपयोग करने वाले कुल 24 अभियानों की पहचान की गई है, जो पाँच अलग-अलग बॉटनेट (UNKN, AFETZEDE, ANAKONDA, PEMBE और TONY) से जुड़े हैं, जिनमें से प्रत्येक हानिकारक एप्लिकेशन वितरित करने के लिए जिम्मेदार है।
UNKN बॉटनेट को यूरोपीय देशों, खास तौर पर फ्रांस, इटली, स्पेन और यूके को निशाना बनाने पर केंद्रित एक खास समूह द्वारा संचालित किया जाता है। इन हमलों में इस्तेमाल किए गए हाल के ड्रॉपर अनुप्रयोगों में शामिल हैं:
- एक नकली क्रोम ब्राउज़र.
- एक कथित 5G कनेक्टिविटी अनुप्रयोग.
- 4K स्पोर्ट्स नाम से एक नकली स्ट्रीमिंग एप्लीकेशन।
4K स्पोर्ट्स एप्लीकेशन को प्रलोभन के रूप में चुनना, वर्तमान में चल रही यूईएफए यूरो 2024 चैम्पियनशिप के साथ मेल खाता है, जिससे यह समयानुकूल प्रलोभन बन जाता है।
विशेषज्ञों का कहना है कि इन सभी अभियानों और बॉटनेट का प्रबंधन मेडुसा के केंद्रीय बुनियादी ढांचे के माध्यम से किया जाता है, जो सार्वजनिक रूप से सुलभ सोशल मीडिया प्रोफाइलों से कमांड-एंड-कंट्रोल (सी2) सर्वर यूआरएल को गतिशील रूप से प्राप्त करता है।
मेडुसा मैलवेयर संस्करणों में नए संशोधन
मेडुसा मैलवेयर के निर्माताओं ने इसके लिए आवश्यक अनुमतियों की संख्या को कम करके समझौता किए गए उपकरणों पर इसके प्रभाव को कम करने का विकल्प चुना है, हालांकि इसके लिए अभी भी एंड्रॉइड की एक्सेसिबिलिटी सेवाओं की आवश्यकता है। इस कमी के बावजूद, मैलवेयर पीड़ित की संपर्क सूची तक पहुँचने और एसएमएस संदेश भेजने की अपनी क्षमता को बनाए रखता है, जो इसके वितरण के लिए एक महत्वपूर्ण तरीका बना हुआ है।
विश्लेषण से पता चलता है कि मैलवेयर लेखकों ने इसके पिछले संस्करण से 17 कमांड हटा दिए हैं, जबकि पांच नए कमांड शामिल किए हैं:
- डेस्ट्रोयो: किसी विशिष्ट एप्लिकेशन को अनइंस्टॉल करें
- पर्मड्राओवर: 'ड्राइंग ओवर' की अनुमति का अनुरोध करें
- सेटओवरले: काली स्क्रीन ओवरले लागू करें
- Take_scr: स्क्रीनशॉट कैप्चर करें
- Update_sec: उपयोगकर्ता गुप्त जानकारी अपडेट करें
विशेष चिंता का विषय 'सेटओवरले' कमांड है, जो दूरस्थ हमलावरों को भ्रामक चालें चलाने में सक्षम बनाता है, जैसे कि पृष्ठभूमि में हो रहे अनधिकृत फंड ट्रांसफर जैसी खतरनाक गतिविधियों को छिपाने के लिए लॉक या बंद स्क्रीन प्रदर्शित करना।
स्क्रीनशॉट लेने की नई जोड़ी गई क्षमता एक महत्वपूर्ण वृद्धि का प्रतिनिधित्व करती है, जो खतरे पैदा करने वाले तत्वों को समझौता किए गए उपकरणों से संवेदनशील जानकारी निकालने का एक नया तरीका प्रदान करती है।
मेडुसा के ऑपरेटर अपना फोकस बढ़ा रहे हैं
ऐसा लगता है कि मेडुसा मोबाइल बैंकिंग ट्रोजन ऑपरेशन अपना ध्यान व्यापक बना रहा है और अधिक गुप्त रणनीति अपना रहा है, जिससे बड़े पैमाने पर तैनाती और पीड़ितों की संख्या में वृद्धि का मार्ग प्रशस्त हो रहा है। जबकि शोधकर्ताओं ने अभी तक Google Play पर किसी भी ड्रॉपर ऐप की पहचान नहीं की है, मैलवेयर-एज़-ए-सर्विस (MaaS) में साइबर अपराधियों की बढ़ती भागीदारी से पता चलता है कि वितरण रणनीतियाँ संभवतः अधिक विविध और परिष्कृत होंगी।
