بدنیتی پر مبنی سافٹ ویئر کے حملے سے ڈیجیٹل فنانس پلیٹ فارمز اور آن لائن اسٹوریج ریپوزٹریز کو خطرہ ہے۔
سائبرسیکیوریٹی کے محققین کو اینڈرائیڈ مالویئر کے چار فعال خاندان ملے ہیں جو +800 ایپس کو نشانہ بنا رہے ہیں، بشمول کرپٹو کرنسی والیٹس اور بینکنگ ایپس۔ یہ میلویئر ایسے طریقے استعمال کرتے ہیں جن کا زیادہ تر روایتی حفاظتی ٹولز پتہ نہیں لگا سکتے۔
Zimperium کی zLabs ٹیم نے RecruitRat، SaferRat، Astrinox، اور Massiv کے نام سے جانے والے ٹروجنوں کا سراغ لگاتے ہوئے نتائج جاری کیے۔
کمپنی کی تحقیق کے مطابق، ہر خاندان کا اپنا کمانڈ اینڈ کنٹرول نیٹ ورک ہوتا ہے جسے وہ لاگ ان کی معلومات چرانے، مالی لین دین پر قبضہ کرنے اور متاثرہ آلات سے صارف کا ڈیٹا حاصل کرنے کے لیے استعمال کرتے ہیں۔
کرپٹو اور بینکنگ ایپس کو متعدد مالویئرز سے نئے خطرات کا سامنا ہے۔
میلویئر فیملیز ہر اس شخص کے لیے براہ راست خطرہ ہیں جو Android پر کرپٹو کا انتظام کرتا ہے۔
ایک بار انسٹال ہونے کے بعد، ٹروجن اصلی کرپٹو اور بینکنگ ایپس کے اوپر جعلی لاگ ان اسکرین لگا سکتے ہیں، پاس ورڈز اور دیگر نجی معلومات کو حقیقی وقت میں چرا سکتے ہیں۔ اس کے بعد میلویئر اصلی ایپ انٹرفیس پر ایک جعلی HTML صفحہ رکھتا ہے، جس کو کمپنی نے "انتہائی قائل کرنے والا، فریب دینے والا اگواڑا" بنا دیا۔
"پیش منظر کی نگرانی کے لیے ایکسیسبیلٹی سروسز کا استعمال کرتے ہوئے، میلویئر عین اس لمحے کا پتہ لگاتا ہے جب شکار ایک مالیاتی ایپلیکیشن شروع کرتا ہے،" Zimperium کے سیکیورٹی محققین نے لکھا۔
رپورٹ کے مطابق، ٹروجن صرف اسناد چوری کرنے کے علاوہ بھی بہت کچھ کر سکتے ہیں۔ وہ ون ٹائم پاس کوڈز کیپچر بھی کر سکتے ہیں، حملہ آوروں کے لیے ڈیوائس کی اسکرین کو اسٹریم کر سکتے ہیں، اپنے ایپ کے آئیکنز کو چھپا سکتے ہیں، اور لوگوں کو ان انسٹال کرنے سے روک سکتے ہیں۔
لوگوں کو اس کی طرف راغب کرنے کے لیے ہر مہم ایک مختلف بیت استعمال کرتی ہے۔
SaferRat نے خود کو جعلی ویب سائٹس کا استعمال کرکے پھیلایا جنہوں نے پریمیم اسٹریمنگ سروسز تک مفت رسائی کا وعدہ کیا تھا۔ RecruitRat نے نوکری کی درخواست کے عمل کے حصے کے طور پر اپنے پے لوڈ کو چھپا دیا، فشنگ سائٹس کو اہداف بھیجے جنہوں نے ان سے ایک نقصان دہ APK فائل ڈاؤن لوڈ کرنے کو کہا۔
Astrinox نے اسی قسم کی بھرتی پر مبنی طریقہ استعمال کیا، ڈومین xhire[.]cc کا استعمال کرتے ہوئے۔ اس سائٹ پر جانے کے لیے استعمال ہونے والے آلے پر منحصر ہے، اس نے مختلف مواد دکھایا۔
اینڈرائیڈ صارفین کو ایک APK ڈاؤن لوڈ کرنے کو کہا گیا، اور iOS صارفین نے ایک صفحہ دیکھا جو ایپل ایپ اسٹور کی طرح نظر آتا تھا۔ تاہم، سیکورٹی محققین کو کوئی ثبوت نہیں ملا کہ iOS کو ہیک کیا گیا تھا۔
اس بات کی تصدیق کرنا ممکن نہیں تھا کہ تحقیقی چکر کے دوران Massiv کو کیسے تقسیم کیا گیا۔
چاروں ٹروجنز نے فشنگ انفراسٹرکچر، ٹیکسٹ میسج اسکیمز، اور سوشل انجینئرنگ کا استعمال کیا جو لوگوں کی تیزی سے کام کرنے کی ضرورت یا ان کے تجسس کو نقصان پہنچانے والی ایپس کو سائڈلوڈ کرنے کے لیے استعمال کرتے تھے۔
کرپٹو میلویئر پتہ لگانے سے بچ جاتا ہے۔
مہمات کا مقصد حفاظتی آلات کو حاصل کرنا ہے۔
محققین نے پایا کہ میلویئر فیملیز اینڈرائیڈ ایپلیکیشن پیکجز (APKs) کے ساتھ جدید اینٹی اینالیسس تکنیک اور ساختی چھیڑ چھاڑ کا استعمال کرتی ہیں جسے کمپنی نے "روایتی دستخط پر مبنی سیکیورٹی میکانزم کے خلاف صفر کے قریب پتہ لگانے کی شرح" کہا ہے۔
نیٹ ورک مواصلات بھی باقاعدہ ٹریفک کے ساتھ مل جاتے ہیں۔ ٹروجن اپنے کمانڈ سرورز سے بات کرنے کے لیے HTTPS اور WebSocket کنکشن استعمال کرتے ہیں۔ کچھ ورژن ان کنکشنز کے اوپر خفیہ کاری کی اضافی پرتیں شامل کرتے ہیں۔
ایک اور اہم چیز استقامت ہے۔ جدید اینڈرائیڈ بینکنگ ٹروجن اب سادہ، ایک مرحلے کے انفیکشن کا استعمال نہیں کرتے ہیں۔ اس کے بجائے، وہ ملٹی اسٹیج انسٹالیشن کے عمل کا استعمال کرتے ہیں جن کا مقصد اینڈرائیڈ کے بدلتے ہوئے اجازت کے ماڈل کو حاصل کرنا ہے، جس نے ایپس کے لیے صارف کی واضح اجازت کے بغیر کام کرنا مشکل بنا دیا ہے۔
رپورٹ میں +800 ٹارگٹڈ ایپلی کیشنز کے اندر مخصوص کرپٹو بٹوے یا تبادلے کی نشاندہی نہیں کی گئی۔ لیکن اوورلے اٹیک، پاس کوڈ انٹرسیپشن، اور اسکرین اسٹریمنگ کی وجہ سے، اگر کوئی صارف گوگل پلے اسٹور کے باہر سے کوئی نقصاندہ APK انسٹال کرتا ہے تو کوئی بھی اینڈرائیڈ پر مبنی کرپٹو ایپ خطرے میں پڑ سکتی ہے۔
ٹیکسٹ میسجز، جاب پوسٹنگز، یا پروموشنل ویب سائٹس کے لنکس سے ایپس ڈاؤن لوڈ کرنا اب بھی موبائل میلویئر کے لیے اسمارٹ فون میں داخل ہونے کے لیے ضمانت شدہ طریقوں میں سے ایک ہے۔
وہ لوگ جو اینڈرائیڈ ڈیوائسز پر اپنے کریپٹو کا نظم کرتے ہیں انہیں صرف آفیشل ایپ اسٹورز استعمال کرنا چاہیے اور ان پاپ اپ پیغامات سے ہوشیار رہنا چاہیے جو ان سے کچھ ڈاؤن لوڈ کرنے کو کہتے ہیں۔