નવું એન્ડ્રોઇડ બેંકિંગ માલવેર ફેલાવવા માટે ક્રિપ્ટો એપ્લિકેશન તરીકે વેશપલટો કરે છે

“માલિબોટ” નામનું નવું બેંકિંગ ટ્રોજન એન્ડ્રોઇડ ફોન્સ વચ્ચે ફેલાવવા માટે ક્રિપ્ટોમાઇનિંગ એપ્લિકેશન હોવાનો ઢોંગ કરે છે. માત્ર સ્પેન અને ઇટાલીમાં જ સક્રિય હોવા છતાં, તે અમેરિકનોને નિશાન બનાવવાનું શરૂ કરી શકે છે.

છબી: જેકી નિયામ/એડોબ સ્ટોક

F5 લેબ્સના સંશોધકો, મોબાઇલ બેંકિંગ માલવેર ફ્લુબોટને ટ્રેક કરતી વખતે નવા માલિબોટ ધમકીની શોધ કરી એન્ડ્રોઇડ ફોનને લક્ષ્ય બનાવવું. માલિબોટમાં સંખ્યાબંધ વિશેષતાઓ અને ક્ષમતાઓ છે જે તેને ધ્યાનમાં લેવા માટે એક મહત્વપૂર્ણ જોખમ બનાવે છે.

જુઓ: મોબાઇલ ઉપકરણ સુરક્ષા નીતિ (ટેકરિપબ્લિક પ્રીમિયમ)

માલિબોટનું વિતરણ કેવી રીતે થાય છે?

માલિબોટ હાલમાં સાયબર અપરાધીઓ દ્વારા બે અલગ અલગ ચેનલો દ્વારા વિતરિત કરવામાં આવી રહ્યું છે.

પ્રથમ વિતરણ પદ્ધતિ વેબ દ્વારા છે: છેતરપિંડી કરનારાઓ દ્વારા બે અલગ-અલગ વેબસાઇટ્સ બનાવવામાં આવી છે, જેનું નામ છે “Mining X” અને “TheCryptoApp” (આકૃતિ એ અને આકૃતિ B).

આકૃતિ એ

android banking malware disguises crypto A
માલિબોટને ફેલાવવા માટે સાયબર અપરાધીઓ દ્વારા બનાવવામાં આવેલ TheCryptoApp વેબસાઇટ.

આકૃતિ B

android banking malware disguises crypto b
માલિબોટને ફેલાવવા માટે સાયબર અપરાધીઓ દ્વારા બનાવવામાં આવેલી MiningX વેબસાઇટ.

TheCryptoApp ઝુંબેશ કાયદેસર ક્રિપ્ટોકરન્સી ટ્રેકર એપ્લિકેશનનો ઢોંગ કરે છે. જો વપરાશકર્તા એન્ડ્રોઇડ ફોનથી બ્રાઉઝ કરશે તો જ તેને ચેપ લાગશે અને માલવેર લિંક આપવામાં આવશે. અન્ય કોઈપણ ઉપકરણ પરથી બ્રાઉઝ કરવાથી વપરાશકર્તાને Google Play Store પર વાસ્તવિક TheCryptoApp એપ્લિકેશન માટે કાયદેસરની લિંક પ્રદાન કરવામાં આવશે. ગૂગલ પ્લે સ્ટોરની બહારના એન્ડ્રોઇડ યુઝર્સને ડાયરેક્ટ ડાઉનલોડ લિંક આપવામાં આવે છે.

માઇનિંગ X વિતરણ ઝુંબેશ માટે, વેબસાઇટ પરથી ડાઉનલોડ લિંક પર ક્લિક કરવાથી એપ્લિકેશન ડાઉનલોડ કરવા માટે QR કોડ ધરાવતી વિંડો ખુલે છે.

બીજી ડિસ્ટ્રિબ્યુશન ચેનલ સ્મિશિંગ દ્વારા છે, જે એન્ડ્રોઇડ ફોન પર સીધી ટક્કર આપે છે: માલિબોટ પાસે માંગ પર SMS સંદેશા મોકલવાની ક્ષમતા છે, અને એકવાર તે આવો આદેશ પ્રાપ્ત કરે છે તે માલિબોટ કમાન્ડ અને કંટ્રોલ સર્વર દ્વારા પ્રદાન કરાયેલ ફોન સૂચિ પર ટેક્સ્ટ્સ મોકલે છે.

માલિબોટ કયો ડેટા ચોરી કરે છે?

માલિબોટ વ્યક્તિગત ડેટા, ઓળખપત્ર અને નાણાકીય જ્ઞાન જેવી માહિતીની ચોરી કરવા માટે રચાયેલ છે. આ ધ્યેય હાંસલ કરવા માટે, તે કૂકીઝ, મલ્ટિ-ફેક્ટર ઓથેન્ટિકેશન ઓળખપત્રો અને ક્રિપ્ટો વૉલેટની ચોરી કરવામાં સક્ષમ છે.

Google એકાઉન્ટ્સ

માલિબોટ પાસે Google એકાઉન્ટ ઓળખપત્રો એકત્રિત કરવાની પદ્ધતિ છે. જ્યારે પીડિત Google એપ્લિકેશન ખોલે છે, ત્યારે માલવેર Google સાઇન-ઇન પૃષ્ઠ પર વેબ વ્યૂ ખોલે છે, વપરાશકર્તાને સાઇન ઇન કરવાની ફરજ પાડે છે અને વપરાશકર્તાને કોઈપણ બેક બટન પર ક્લિક કરવાની મંજૂરી આપતું નથી.

Google એકાઉન્ટ ઓળખપત્રો એકત્રિત કરવા ઉપરાંત, Malibot Google ના 2FA ને બાયપાસ કરવામાં પણ સક્ષમ છે. જ્યારે વપરાશકર્તા તેમના Google એકાઉન્ટ સાથે કનેક્ટ કરવાનો પ્રયાસ કરે છે, ત્યારે તેમને Google પ્રોમ્પ્ટ સ્ક્રીન બતાવવામાં આવે છે જે માલવેર તરત જ માન્ય કરે છે. 2FA કોડ કાયદેસર વપરાશકર્તાને બદલે હુમલાખોરને મોકલવામાં આવે છે, પછી પ્રમાણીકરણને માન્ય કરવા માટે માલવેર દ્વારા પુનઃપ્રાપ્ત કરવામાં આવે છે.

પસંદ કરેલી ઓનલાઈન સેવાઓ માટે બહુવિધ ઇન્જેક્શન

ચેપગ્રસ્ત ઉપકરણ એપ્લિકેશન સૂચિ પણ માલવેર દ્વારા હુમલાખોરને પ્રદાન કરવામાં આવે છે, જે હુમલાખોરને તે જાણવામાં મદદ કરે છે કે તેના બદલે ઇન્જેક્શન બતાવવા માટે માલવેર દ્વારા કઈ એપ્લિકેશનને હૂક કરી શકાય છે. ઇન્જેક્ટ એ વપરાશકર્તાને બતાવેલ પૃષ્ઠ છે જે સંપૂર્ણ રીતે કાયદેસરનો ઢોંગ કરે છે (આકૃતિ C).

આકૃતિ C

android banking malware disguises crypto C
છબી: F5 લેબ્સ. મૉલવેર દ્વારા દર્શાવવામાં આવેલી યુનિક્રેડિટ ઇટાલિયન બેંકિંગ કંપની માટે ઇન્જેક્ટ કરો.

F5 લેબ્સ અનુસાર, માલિબોટ સ્પેન અને ઇટાલીમાં લક્ષિત નાણાકીય સંસ્થાઓને ઇન્જેક્ટ કરે છે.

બહુ-પરિબળ પ્રમાણીકરણ

Google એકાઉન્ટ્સ ચોરી કરવા માટે ઉપયોગમાં લેવાતી પદ્ધતિ ઉપરાંત, માલિબોટ Google પ્રમાણકર્તા ઑન-ડિમાન્ડમાંથી મલ્ટિ-ફેક્ટર પ્રમાણીકરણ કોડ્સ પણ ચોરી શકે છે. મોબાઇલ ફોન પર SMS દ્વારા મોકલવામાં આવેલા MFA કોડને માલવેર દ્વારા અટકાવવામાં આવે છે અને બહાર કાઢવામાં આવે છે.

ક્રિપ્ટો પાકીટ

Malibot Binance અને Trust cryptocurrency walletsમાંથી ડેટા ચોરવામાં સક્ષમ છે.

માલવેર બાઈનન્સ અને ટ્રસ્ટ બંને માટે પીડિત વોલેટ્સમાંથી કુલ બેલેન્સ મેળવવા અને તેને C2 સર્વર પર નિકાસ કરવાનો પ્રયાસ કરે છે.

ટ્રસ્ટ વૉલેટની વાત કરીએ તો, માલિબોટ પીડિત માટેના સીડ શબ્દસમૂહો પણ એકત્રિત કરી શકે છે, જે હુમલાખોરને પાછળથી તેમની પસંદગીના અન્ય વૉલેટમાં તમામ નાણાં ટ્રાન્સફર કરવાની મંજૂરી આપે છે.

SMS છેતરપિંડી

માલિબોટ માંગ પર SMS સંદેશા મોકલી શકે છે. જ્યારે તે મોટે ભાગે આ ક્ષમતાનો ઉપયોગ સ્મિશિંગ દ્વારા ફેલાવવા માટે કરે છે, તે પ્રીમિયમ એસએમએસ પણ મોકલી શકે છે જે સક્ષમ હોય તો પીડિતના મોબાઇલ ક્રેડિટનું બિલ આપે છે.

માલિબોટ ચેપગ્રસ્ત ઉપકરણ પર નિયંત્રણ કેવી રીતે મેળવે છે?

માલિબોટ એન્ડ્રોઇડના એક્સેસિબિલિટી APIનો ભારે ઉપયોગ કરે છે, જે મોબાઇલ એપ્લિકેશન્સને વપરાશકર્તા વતી ક્રિયાઓ કરવાની મંજૂરી આપે છે. આનો ઉપયોગ કરીને, દૂષિત સોફ્ટવેર માહિતીની ચોરી કરી શકે છે અને દ્રઢતા જાળવી શકે છે. વધુ વિશિષ્ટ રીતે, તે સ્ક્રીન પર ચોક્કસ ટેક્સ્ટ અથવા લેબલ્સ જોઈને અને ક્રિયાને રોકવા માટે બેક બટન દબાવીને અનઇન્સ્ટોલેશન અને પરવાનગીઓ દૂર કરવા સામે રક્ષણ આપે છે.

માલિબોટ: ખૂબ જ સક્રિય ખતરો

માલિબોટ વિકાસકર્તાઓ ઇચ્છે છે કે તે શોધાયેલ ન રહે અને સંક્રમિત ઉપકરણો પર શક્ય હોય ત્યાં સુધી દ્રઢતા જાળવી રાખે. નિષ્ક્રિયતાના કિસ્સામાં ઓપરેટિંગ સિસ્ટમ દ્વારા મારવા અથવા થોભાવવામાં ન આવે તે માટે, માલવેરને લૉન્ચર તરીકે સેટ કરવામાં આવે છે. દર વખતે તેની પ્રવૃત્તિ તપાસવામાં આવે છે, તે સેવા શરૂ કરે છે અથવા જાગે છે.

માલવેરમાં કેટલીક વધારાની સુરક્ષા સમાયેલ છે, પરંતુ તેનો ઉપયોગ થતો નથી. F5 સંશોધકોએ માલવેર સિમ્યુલેટેડ વાતાવરણમાં ચાલે છે કે કેમ તે શોધવા માટે એક કાર્ય શોધ્યું. અન્ય ન વપરાયેલ કાર્ય માલવેરને છુપાયેલ એપ્લિકેશન તરીકે સેટ કરે છે.

Mmore Malibot લક્ષ્યો આવવાના છે, યુએસ પહેલેથી જ હિટ થઈ શકે છે

જ્યારે F5 લેબ્સના સંશોધનમાં સ્પેન અને ઇટાલીમાં લક્ષ્યો જાહેર કરવામાં આવ્યા હતા, ત્યારે તેમને ચાલુ પ્રવૃત્તિ પણ મળી હતી જે અમેરિકન નાગરિકોને નિશાન બનાવતા સાયબર અપરાધીઓ પર સંકેત આપી શકે છે.

સમાન જોખમી અભિનેતા દ્વારા ઉપયોગમાં લેવાતા એક ડોમેન અમેરિકન ટેક્સ સેવાઓનો ઢોંગ કરે છે અને “ટ્રસ્ટ એનએફટી” વેબસાઇટ તરફ દોરી જાય છે (આકૃતિ ડી) માલવેર ડાઉનલોડ કરવાની ઓફર કરે છે.

આકૃતિ ડી

android banking malware disguises crypto D
ડોમેન નામમાં યુએસ ટેક્સ એજન્સીનો ઢોંગ કરનાર ધમકી આપનારની નવી વેબસાઇટ, રીડરને સુરક્ષિત રાખવા માટે ખુલ્લી નથી.

તેના ડોમેન નામમાં COVID-19 થીમનો ઉપયોગ કરતી અન્ય વેબસાઇટ સમાન સામગ્રી તરફ દોરી જાય છે. સંશોધકો અપેક્ષા રાખે છે કે હુમલાખોરો યુએસ સહિત વિશ્વના અન્ય ભાગોમાં આ નવી વેબસાઇટ્સ દ્વારા વધુ માલવેર જમાવશે.

માલિબોટથી તમારી જાતને કેવી રીતે સુરક્ષિત કરવી

માલવેર ફક્ત સાયબર અપરાધીઓ અને એસએમએસ દ્વારા બનાવવામાં આવેલી વેબસાઇટ્સ પરથી જ વિતરિત કરવામાં આવે છે. તે હાલમાં કોઈપણ કાયદેસર Android પ્લેટફોર્મ જેમ કે Google Play Store દ્વારા ફેલાયેલ નથી.

Android ઉપકરણ પર ક્યારેય એવી કોઈપણ એપ્લિકેશન ઇન્સ્ટોલ કરશો નહીં જે એક ક્લિકથી સીધી ડાઉનલોડ કરી શકાય. વપરાશકર્તાઓએ ફક્ત વિશ્વસનીય અને કાયદેસર એપ્લિકેશન સ્ટોર્સ અને પ્લેટફોર્મ્સ પરથી એપ્લિકેશન ઇન્સ્ટોલ કરવી જોઈએ. વપરાશકર્તાઓએ તેમને SMS દ્વારા મેળવેલી લિંક પરથી ક્યારેય એપ્લિકેશન ઇન્સ્ટોલ કરવી જોઈએ નહીં.

Android ઉપકરણને જાણીતા જોખમોથી બચાવવા માટે તેના પર વ્યાપક સુરક્ષા એપ્લિકેશનો ઇન્સ્ટોલ કરો.

એપ્લિકેશન ઇન્સ્ટોલ કરતી વખતે, પરવાનગીઓ કાળજીપૂર્વક તપાસવી જોઈએ. જ્યારે પ્રથમ વખત લોન્ચ કરવામાં આવે ત્યારે SMS મોકલવાની પરવાનગી માટે માલિબોટ માલવેર, જે શંકા પેદા કરે છે.

જાહેરાત: હું Trend Micro માટે કામ કરું છું, પરંતુ આ લેખમાં વ્યક્ત કરાયેલા વિચારો મારા છે.

Leave a Comment