ਡਾਕਟਰ ਵੈੱਬ ਕੰਪਨੀ ਅਧਿਕਾਰਤ ਕੈਟਾਲਾਗ ਵਿੱਚ ਮਿਲੀ Android-ਟ੍ਰੋਜਨ ਕਲਿਕਰ ਐਪਲੀਕੇਸ਼ਨ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅਦਾਇਗੀ ਸੇਵਾਵਾਂ ਲਈ ਆਪਣੇ ਆਪ ਗਾਹਕ ਬਣਾ ਸਕਦੇ ਹਨ। ਵਾਇਰਸ ਵਿਸ਼ਲੇਸ਼ਕਾਂ ਨੇ ਇਸ ਮਾਲਵੇਅਰ ਦੇ ਕਈ ਸੋਧਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜਿਸਨੂੰ , и ਆਪਣੇ ਅਸਲ ਮਕਸਦ ਨੂੰ ਛੁਪਾਉਣ ਅਤੇ ਪਤਾ ਲੱਗਣ ਦੀ ਸੰਭਾਵਨਾ ਨੂੰ ਘਟਾਉਣ ਲਈ, ਹਮਲਾਵਰਾਂ ਨੇ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
ਪਹਿਲੀ ਗੱਲਉਹਨਾਂ ਨੇ ਕਲਿੱਕਰ ਨੂੰ ਨਿਰਦੋਸ਼ ਐਪਸ - ਕੈਮਰੇ ਅਤੇ ਚਿੱਤਰ ਸੰਗ੍ਰਹਿ - ਵਿੱਚ ਏਮਬੇਡ ਕੀਤਾ ਜੋ ਆਪਣੇ ਉਦੇਸ਼ ਅਨੁਸਾਰ ਕੰਮ ਕਰਦੇ ਸਨ। ਨਤੀਜੇ ਵਜੋਂ, ਉਪਭੋਗਤਾਵਾਂ ਅਤੇ ਜਾਣਕਾਰੀ ਸੁਰੱਖਿਆ ਪੇਸ਼ੇਵਰਾਂ ਕੋਲ ਉਹਨਾਂ ਨੂੰ ਖ਼ਤਰਾ ਮੰਨਣ ਦਾ ਕੋਈ ਸਪੱਸ਼ਟ ਕਾਰਨ ਨਹੀਂ ਸੀ।
ਦੂਜਾਸਾਰੇ ਮਾਲਵੇਅਰ ਵਪਾਰਕ ਜੀਆਗੂ ਪੈਕਰ ਦੁਆਰਾ ਸੁਰੱਖਿਅਤ ਕੀਤੇ ਗਏ ਸਨ, ਜੋ ਐਂਟੀਵਾਇਰਸ ਖੋਜ ਅਤੇ ਕੋਡ ਵਿਸ਼ਲੇਸ਼ਣ ਵਿੱਚ ਰੁਕਾਵਟ ਪਾਉਂਦਾ ਹੈ। ਇਸਨੇ ਟ੍ਰੋਜਨ ਨੂੰ ਗੂਗਲ ਪਲੇ ਦੀ ਬਿਲਟ-ਇਨ ਸੁਰੱਖਿਆ ਦੁਆਰਾ ਖੋਜ ਤੋਂ ਬਚਣ ਦਾ ਇੱਕ ਬਿਹਤਰ ਮੌਕਾ ਦਿੱਤਾ।
ਤੀਜਾ ਹੈ, ਮਾਲਵੇਅਰ ਲੇਖਕਾਂ ਨੇ ਟਰੋਜਨ ਨੂੰ ਮਸ਼ਹੂਰ ਇਸ਼ਤਿਹਾਰ ਵਿਸ਼ਲੇਸ਼ਣ ਲਾਇਬ੍ਰੇਰੀਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦੇਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ। ਹੋਸਟ ਪ੍ਰੋਗਰਾਮਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤੇ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਫੇਸਬੁੱਕ ਅਤੇ ਉਹਨਾਂ ਵਿੱਚ ਮੌਜੂਦ ਐਡਜਸਟ SDKs ਵਿੱਚ ਏਕੀਕ੍ਰਿਤ ਕਰ ਦੇਵੇਗਾ, ਉਹਨਾਂ ਦੇ ਹਿੱਸਿਆਂ ਵਿੱਚ ਲੁਕ ਜਾਵੇਗਾ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਕਲਿੱਕ ਕਰਨ ਵਾਲੇ ਨੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਚੋਣਵੇਂ ਤੌਰ 'ਤੇ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ: ਇਸਨੇ ਕੋਈ ਵੀ ਖਤਰਨਾਕ ਕਾਰਵਾਈ ਨਹੀਂ ਕੀਤੀ ਜਦੋਂ ਤੱਕ ਕਿ ਸੰਭਾਵੀ ਪੀੜਤ ਹਮਲਾਵਰਾਂ ਦੀ ਦਿਲਚਸਪੀ ਵਾਲੇ ਦੇਸ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਦਾ ਨਿਵਾਸੀ ਨਾ ਹੋਵੇ।
ਹੇਠਾਂ ਉਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀਆਂ ਉਦਾਹਰਣਾਂ ਹਨ ਜਿਨ੍ਹਾਂ ਵਿੱਚ ਇੱਕ ਟਰੋਜਨ ਸ਼ਾਮਲ ਹੈ:
ਕਲਿਕਰ ਨੂੰ ਇੰਸਟਾਲ ਕਰਨ ਅਤੇ ਲਾਂਚ ਕਰਨ ਤੋਂ ਬਾਅਦ (ਇੱਥੋਂ ਇਸਦੀ ਸੋਧ ਨੂੰ ਉਦਾਹਰਣ ਵਜੋਂ ਵਰਤਿਆ ਜਾਵੇਗਾ) ) ਹੇਠ ਲਿਖੀ ਬੇਨਤੀ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਕੇ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਸੂਚਨਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ:
ਜੇਕਰ ਉਪਭੋਗਤਾ ਇਸਨੂੰ ਲੋੜੀਂਦੀਆਂ ਇਜਾਜ਼ਤਾਂ ਦੇਣ ਲਈ ਸਹਿਮਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਟਰੋਜਨ ਸਾਰੀਆਂ ਆਉਣ ਵਾਲੀਆਂ SMS ਸੂਚਨਾਵਾਂ ਨੂੰ ਲੁਕਾਉਣ ਅਤੇ ਸੁਨੇਹੇ ਦੇ ਟੈਕਸਟ ਨੂੰ ਰੋਕਣ ਦੇ ਯੋਗ ਹੋਵੇਗਾ।
ਫਿਰ ਕਲਿੱਕ ਕਰਨ ਵਾਲਾ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਬਾਰੇ ਤਕਨੀਕੀ ਡੇਟਾ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰ ਨੂੰ ਭੇਜਦਾ ਹੈ ਅਤੇ ਪੀੜਤ ਦੇ ਸਿਮ ਕਾਰਡ ਦੇ ਸੀਰੀਅਲ ਨੰਬਰ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਇਹ ਨਿਸ਼ਾਨਾ ਦੇਸ਼ਾਂ ਵਿੱਚੋਂ ਇੱਕ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ, ਕਲਿੱਕ ਕਰਨ ਵਾਲਾ ਇਸ ਨਾਲ ਜੁੜੇ ਫ਼ੋਨ ਨੰਬਰ ਬਾਰੇ ਜਾਣਕਾਰੀ ਸਰਵਰ ਨੂੰ ਭੇਜਦਾ ਹੈ। ਫਿਰ ਕੁਝ ਦੇਸ਼ਾਂ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਇੱਕ ਫਿਸ਼ਿੰਗ ਵਿੰਡੋ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ ਜਿਸ ਵਿੱਚ ਉਹਨਾਂ ਨੂੰ ਖੁਦ ਨੰਬਰ ਦਰਜ ਕਰਨ ਜਾਂ ਆਪਣੇ Google ਖਾਤੇ ਵਿੱਚ ਲੌਗਇਨ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ:
ਜੇਕਰ ਪੀੜਤ ਦਾ ਸਿਮ ਕਾਰਡ ਹਮਲਾਵਰਾਂ ਦੇ ਹਿੱਤ ਵਾਲੇ ਦੇਸ਼ ਤੋਂ ਨਹੀਂ ਹੈ, ਤਾਂ ਟਰੋਜਨ ਕੋਈ ਕਾਰਵਾਈ ਨਹੀਂ ਕਰਦਾ ਅਤੇ ਆਪਣੀ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਬੰਦ ਕਰ ਦਿੰਦਾ ਹੈ। ਅਧਿਐਨ ਕੀਤੇ ਗਏ ਕਲਿੱਕਰ ਦੇ ਸੋਧਾਂ ਹੇਠ ਲਿਖੇ ਦੇਸ਼ਾਂ ਦੇ ਨਿਵਾਸੀਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀਆਂ ਹਨ:
- ਆਸਟਰੀਆ
- ਇਟਲੀ
- France
- ਥਾਈਲੈਂਡ
- Малайзия
- ਜਰਮਨੀ
- ਕਤਰ
- ਜਰਮਨੀ
- ਗ੍ਰੀਸ
- ਆਇਰਲੈਂਡ
ਨੰਬਰ ਬਾਰੇ ਜਾਣਕਾਰੀ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਤੋਂ ਬਾਅਦ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ ਸਰਵਰ ਤੋਂ ਕਮਾਂਡਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ। ਸਰਵਰ ਟਰੋਜਨ ਕਮਾਂਡਾਂ ਭੇਜਦਾ ਹੈ ਜਿਸ ਵਿੱਚ ਲੋਡ ਕਰਨ ਲਈ ਵੈੱਬਸਾਈਟ ਪਤੇ ਅਤੇ JavaScript ਕੋਡ ਹੁੰਦਾ ਹੈ। ਇਸ ਕੋਡ ਦੀ ਵਰਤੋਂ JavascriptInterface ਇੰਟਰਫੇਸ ਰਾਹੀਂ ਕਲਿੱਕਰ ਨੂੰ ਕੰਟਰੋਲ ਕਰਨ, ਡਿਵਾਈਸ 'ਤੇ ਪੌਪ-ਅੱਪ ਸੁਨੇਹੇ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਨ, ਵੈੱਬ ਪੰਨਿਆਂ 'ਤੇ ਕਲਿੱਕ ਕਰਨ ਅਤੇ ਹੋਰ ਕਾਰਵਾਈਆਂ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਵੈੱਬਸਾਈਟ ਦਾ ਪਤਾ ਪ੍ਰਾਪਤ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਸਨੂੰ ਇੱਕ ਅਦਿੱਖ WebView ਵਿੱਚ ਖੋਲ੍ਹਦਾ ਹੈ, ਜਿੱਥੇ ਪਹਿਲਾਂ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਕਲਿੱਕ ਪੈਰਾਮੀਟਰਾਂ ਨਾਲ ਵੀ ਲੋਡ ਹੁੰਦਾ ਹੈ। ਪ੍ਰੀਮੀਅਮ ਸੇਵਾ ਵੈੱਬਸਾਈਟ ਖੋਲ੍ਹਣ ਤੋਂ ਬਾਅਦ, ਟ੍ਰੋਜਨ ਆਪਣੇ ਆਪ ਲੋੜੀਂਦੇ ਲਿੰਕਾਂ ਅਤੇ ਬਟਨਾਂ 'ਤੇ ਕਲਿੱਕ ਕਰਦਾ ਹੈ। ਫਿਰ ਇਹ SMS ਰਾਹੀਂ ਪੁਸ਼ਟੀਕਰਨ ਕੋਡ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਆਪਣੇ ਆਪ ਗਾਹਕੀ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ।
ਹਾਲਾਂਕਿ ਕਲਿੱਕ ਕਰਨ ਵਾਲੇ ਕੋਲ SMS ਕਾਰਜਕੁਸ਼ਲਤਾ ਅਤੇ ਸੁਨੇਹਿਆਂ ਤੱਕ ਪਹੁੰਚ ਦੀ ਘਾਟ ਹੈ, ਇਹ ਇਸ ਪਾਬੰਦੀ ਨੂੰ ਬਾਈਪਾਸ ਕਰਦਾ ਹੈ। ਇਹ ਇਸ ਤਰ੍ਹਾਂ ਹੇਠ ਲਿਖੇ ਤਰੀਕੇ ਨਾਲ ਕਰਦਾ ਹੈ। ਟਰੋਜਨ ਸੇਵਾ ਡਿਫਾਲਟ ਤੌਰ 'ਤੇ SMS ਨੂੰ ਨਿਰਧਾਰਤ ਐਪ ਤੋਂ ਸੂਚਨਾਵਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਦੀ ਹੈ। ਜਦੋਂ ਕੋਈ ਸੁਨੇਹਾ ਆਉਂਦਾ ਹੈ, ਤਾਂ ਸੇਵਾ ਸੰਬੰਧਿਤ ਸਿਸਟਮ ਸੂਚਨਾ ਨੂੰ ਲੁਕਾਉਂਦੀ ਹੈ। ਫਿਰ ਇਹ ਇਸ ਤੋਂ ਪ੍ਰਾਪਤ SMS ਬਾਰੇ ਜਾਣਕਾਰੀ ਕੱਢਦੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਟਰੋਜਨ ਪ੍ਰਸਾਰਣ ਪ੍ਰਾਪਤਕਰਤਾ ਨੂੰ ਭੇਜਦੀ ਹੈ। ਨਤੀਜੇ ਵਜੋਂ, ਉਪਭੋਗਤਾ ਆਉਣ ਵਾਲੇ SMS ਸੁਨੇਹਿਆਂ ਬਾਰੇ ਕੋਈ ਸੂਚਨਾ ਨਹੀਂ ਦੇਖਦਾ ਅਤੇ ਕਾਰਵਾਈ ਤੋਂ ਅਣਜਾਣ ਹੁੰਦਾ ਹੈ। ਉਹ ਗਾਹਕੀ ਬਾਰੇ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਸਿੱਖਦੇ ਹਨ ਜਦੋਂ ਉਨ੍ਹਾਂ ਦੇ ਖਾਤੇ ਵਿੱਚੋਂ ਫੰਡ ਗਾਇਬ ਹੋਣੇ ਸ਼ੁਰੂ ਹੋ ਜਾਂਦੇ ਹਨ, ਜਾਂ ਜਦੋਂ ਉਹ ਸੁਨੇਹੇ ਮੀਨੂ ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ ਅਤੇ ਪ੍ਰੀਮੀਅਮ ਸੇਵਾ ਨਾਲ ਸਬੰਧਤ SMS ਸੁਨੇਹੇ ਦੇਖਦੇ ਹਨ।
ਡਾਕਟਰ ਵੈੱਬ ਮਾਹਿਰਾਂ ਵੱਲੋਂ ਗੂਗਲ ਨੂੰ ਕੀਤੀ ਗਈ ਬੇਨਤੀ ਤੋਂ ਬਾਅਦ, ਖੋਜੀਆਂ ਗਈਆਂ ਖਤਰਨਾਕ ਐਪਾਂ ਨੂੰ ਗੂਗਲ ਪਲੇ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ। ਇਸ ਕਲਿਕਰ ਦੇ ਸਾਰੇ ਜਾਣੇ-ਪਛਾਣੇ ਸੋਧਾਂ ਨੂੰ ਡਾ. ਵੈੱਬ ਐਂਟੀਵਾਇਰਸ ਉਤਪਾਦਾਂ ਦੁਆਰਾ ਸਫਲਤਾਪੂਰਵਕ ਖੋਜਿਆ ਅਤੇ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ। Android ਅਤੇ ਇਸ ਲਈ ਸਾਡੇ ਉਪਭੋਗਤਾਵਾਂ ਲਈ ਖ਼ਤਰਾ ਨਾ ਬਣੋ।
ਸਰੋਤ: www.habr.com
