गूगल प्ले स्टोर पर खोजे गए ‘खतरनाक’ स्पाईवेयर ऐप्स

साइबर सिक्यॉरिटी रिसर्चर्स ने तीन ऐप्स की खोज की है गूगल प्ले स्टोर कथित तौर पर राज्य-प्रायोजित हैकर्स द्वारा लक्षित उपकरणों से खुफिया जानकारी एकत्र करने के लिए उपयोग किया गया था। इस जानकारी में स्थान डेटा और पीड़ितों की संपर्क सूची शामिल है। सिंगापुर स्थित साइबर सुरक्षा कंपनी साइफिरमा की एक रिपोर्ट के अनुसार, इस ऑपरेशन का श्रेय हैकिंग समूह “डूनॉट” को दिया गया।
ब्लीपिंग कंप्यूटर की रिपोर्ट के मुताबिक, हैकिंग ग्रुप ने कथित तौर पर 2018 से दक्षिण-पूर्व एशिया में हाई-प्रोफाइल संगठनों को निशाना बनाया है।
में उपयोग किए जाने वाले ऐप्स ऐसा न करेंका नवीनतम अभियान बुनियादी जानकारी एकत्र करता है। यह डेटा खतरे वाले समूह को अधिक खतरनाक मैलवेयर हमलों के लिए जमीन तैयार करने में मदद कर सकता है। नवीनतम अभियान भी कथित तौर पर समूह के हमलों के पहले चरण का प्रतिनिधित्व करता है।
स्पाइवेयर फैलाने वाले गूगल प्ले स्टोर ऐप्स
साइफिरमा के अनुसार, डेटा एकत्र करने के लिए कथित तौर पर स्पाईवेयर फैलाने वाले संदिग्ध ऐप पर उपलब्ध हैं गूगल खेल स्टोर। ये दोनों ऐप, निश्चित चैट और iKHfaa VPN को ‘नामक डेवलपर द्वारा अपलोड किया गया हैसुरक्षा उद्योग.’
इस बीच, प्रकाशक के पास Play Store पर एक तीसरा ऐप भी है जो साइफिरमा के लिए दुर्भावनापूर्ण प्रतीत नहीं होता। हमने TOI-GadgetsNow में इन ऐप्स के लिए Google Play Store में खोज की है। ऐसा लगता है कि iKHfaa VPN हटा दिया गया है जबकि nSure चैट ऐप अभी भी प्लेटफ़ॉर्म पर उपलब्ध है और Google अभी भी उपयोगकर्ताओं को इसे डाउनलोड करने की अनुमति दे रहा है।
‘सिक्योरिटी इंडस्ट्री’ द्वारा विकसित ऐप्स पर डाउनलोड की संख्या तुलनात्मक रूप से कम है। इससे पता चलता है कि इन ऐप्स का उपयोग विशिष्ट लक्ष्यों के विरुद्ध चुनिंदा रूप से किया जाता है।
कैसे डेटा चोरी कर रहे हैं ये ऐप्स
रिपोर्ट में दावा किया गया है कि ये ऐप्स इंस्टालेशन के दौरान यूजर्स से रिस्की परमिशन मांगती हैं। इन अनुमतियों में उपयोगकर्ता की संपर्क सूची और सटीक स्थान डेटा तक पहुंच शामिल है। ऐप्स तब यह डेटा एकत्र करते हैं और उन्हें हमलावर को भेजते हैं।
हालाँकि, लक्ष्य के वर्तमान स्थान तक पहुँचने के लिए, पीड़ित के डिवाइस पर GPS सक्रिय होना चाहिए। अन्य मामलों में, ऐप डिवाइस के अंतिम ज्ञात स्थान को प्राप्त करता है। एकत्रित डेटा को स्थानीय रूप से उपयोग करके संग्रहीत किया जाता है एंड्रॉयडकी रूम लाइब्रेरी। यह डेटा बाद में HTTP अनुरोध के माध्यम से हमलावर के C2 सर्वर को भेजा जाता है।

साइफिरमा के विश्लेषकों ने यह भी पता लगाया है कि हैकर्स के वीपीएन ऐप का कोड बेस वैध से कॉपी किया गया था लिबर्टी वीपीएन सेवा।
साइफिरमा ने ऑपरेशन को DoNot से कैसे जोड़ा
साइबर सिक्योरिटी फर्म ने अभियान को एन्क्रिप्टेड स्ट्रिंग्स के विशिष्ट उपयोग के आधार पर DoNot धमकी समूह को जिम्मेदार ठहराया। तकनीकें कथित हैकिंग समूह से जुड़ी थीं। कंपनी ने यह भी पाया कि दुर्भावनापूर्ण ऐप्स द्वारा उत्पन्न कुछ फ़ाइल नाम पिछले DoNot अभियानों से भी जुड़े हुए थे।
साइफिरमा के शोधकर्ता संकेत देते हैं कि हमलावरों ने दुर्भावनापूर्ण अटैचमेंट वाले फ़िशिंग ईमेल भेजने की रणनीति को छोड़ दिया है। इसके बजाय, समूह अब व्हाट्सएप के माध्यम से स्पीयर मैसेजिंग अटैक रणनीति को नियोजित कर रहा है तार मैसेजिंग प्लेटफॉर्म। इन ऐप्स पर डायरेक्ट मैसेज के जरिए भेजे गए लिंक पीड़ितों को गूगल प्ले स्टोर पर भेजते हैं। Android का ऐप स्टोर एक विश्वसनीय प्लेटफ़ॉर्म है जो हमले को वैध बनाने में भी मदद करता है। यह हमलावरों को आसानी से पीड़ितों को सुझाए गए ऐप डाउनलोड करने में मदद करता है।