পাঁচ বছর আগে, গবেষকরা একটি নির্মম আবিষ্কার করেছিলেন – গুগল প্লে মার্কেটে একটি বৈধ অ্যান্ড্রয়েড অ্যাপ গোপনে একটি লাইব্রেরি দ্বারা দূষিত করা হয়েছিল যা ডেভেলপারদের দ্বারা বিজ্ঞাপনের আয় উপার্জনের জন্য ব্যবহার করা হয়েছিল৷ অতিরিক্তভাবে, অ্যাপটি কোড দ্বারা সংক্রামিত হয়েছিল যার কারণে 100 মিলিয়ন সংক্রামিত ডিভাইস আক্রমণকারী-নিয়ন্ত্রিত সার্ভারের সাথে সংযোগ স্থাপন করে এবং গোপন পেলোড ডাউনলোড করে।
এখন ইতিহাসের পুনরাবৃত্তি হচ্ছে। রাশিয়ার মস্কোতে অবস্থিত একই নিরাপত্তা সংস্থার গবেষকরা সোমবার রিপোর্ট তারা দেখতে পেয়েছে যে তারা দুটি নতুন অ্যাপ খুঁজে পেয়েছে, যেগুলি প্লে থেকে 11 মিলিয়ন বার ডাউনলোড করা হয়েছে, যেগুলি একই ম্যালওয়্যার পরিবার থেকে সংক্রামিত ছিল। ক্যাসপারস্কি গবেষকরা বিশ্বাস করেন যে বিজ্ঞাপনের ক্ষমতাকে একীভূত করার জন্য ডিজাইন করা একটি দূষিত সফ্টওয়্যার বিকাশকারী কিট আবারও দায়ী।
স্মার্ট ব্যবসার দক্ষতা
সফ্টওয়্যার ডেভেলপার কিটগুলি, যা SDK নামে বেশি পরিচিত, এমন অ্যাপ যা ডেভেলপারদের ফ্রেমওয়ার্ক প্রদান করে যা পুনরাবৃত্তিমূলক কাজগুলিকে স্ট্রিমলাইন করে অ্যাপ-বিল্ডিং প্রক্রিয়াটিকে ব্যাপকভাবে দ্রুততর করতে পারে। অ্যাপে অন্তর্ভুক্ত একটি যাচাই না করা SDK মডিউল দৃশ্যত বিজ্ঞাপন প্রদর্শনকে সমর্থন করে। পর্দার আড়ালে, এটি দূষিত সার্ভারগুলির সাথে গোপন যোগাযোগের জন্য বেশ কয়েকটি উন্নত পদ্ধতি প্রদান করেছে, যেখানে অ্যাপগুলি ব্যবহারকারীর ডেটা আপলোড করবে এবং দূষিত কোড ডাউনলোড করবে যা যে কোনও সময় কার্যকর এবং আপডেট করা যেতে পারে।
উভয় প্রচারাভিযান নেক্রো নামে পরিচিত চুরি ম্যালওয়্যার পরিবার ব্যবহার করে। এবারও কিছু ভেরিয়েন্টে এমন প্রযুক্তি ব্যবহার করা হয়েছে স্টেগানোগ্রাফিএকটি অস্পষ্ট পদ্ধতি খুব কমই মোবাইল ম্যালওয়্যারে দেখা যায়। কিছু ভেরিয়েন্ট দূষিত কোড সরবরাহ করতে চতুর ট্রেডক্রাফ্ট ব্যবহার করে যা উন্নত সিস্টেম অধিকারের সাথে চলতে পারে। একবার ডিভাইসগুলি এই বৈকল্পিক দ্বারা সংক্রামিত হলে, তারা আক্রমণকারী দ্বারা নিয়ন্ত্রিত একটি কমান্ড-এন্ড-কন্ট্রোল সার্ভারের সাথে যোগাযোগ করে এবং এনক্রিপ্টযুক্ত ওয়েব অনুরোধ পাঠায় JSON ডেটা যা প্রতিটি আপস করা ডিভাইস এবং মডিউল হোস্ট করে এমন অ্যাপ্লিকেশন সম্পর্কে তথ্য প্রদান করে।
বিনিময়ে, সার্ভার একটি JSON প্রতিক্রিয়া প্রদান করে যার মধ্যে PNG চিত্রের একটি লিঙ্ক এবং সংশ্লিষ্ট মেটাডেটা রয়েছে যা ইমেজ হ্যাশ অন্তর্ভুক্ত করে। যদি সংক্রামিত ডিভাইসে ইনস্টল করা দূষিত মডিউল নিশ্চিত করে যে হ্যাশটি সঠিক, এটি ছবিটি ডাউনলোড করে।
ক্যাসপারস্কি গবেষকরা একটি প্রতিবেদনে ব্যাখ্যা করেছেন যে SDK মডিউল “খুব সাধারণ স্টেগানোগ্রাফিক অ্যালগরিদম ব্যবহার করে”। পৃথক পোস্ট“যদি MD5 চেক সফল হয়, তাহলে এটি PNG ফাইলের বিষয়বস্তু বের করে – ARGB চ্যানেলে পিক্সেল মান – স্ট্যান্ডার্ড অ্যান্ড্রয়েড টুল ব্যবহার করে। তারপর getPixel পদ্ধতিটি এমন একটি মান প্রদান করে যার সর্বনিম্ন উল্লেখযোগ্য বাইটে চিত্রের নীল চ্যানেল রয়েছে এবং কোডে প্রক্রিয়াকরণ শুরু হয়।”
গবেষকরা আরও বলেছেন:
যদি আমরা চিত্রের নীল চ্যানেলটিকে মাত্রা 1 এর একটি বাইট অ্যারে হিসাবে বিবেচনা করি, তবে চিত্রের প্রথম চারটি বাইট হল ছোট এন্ডিয়ান বিন্যাসে এনকোড করা পেলোডের আকার (অন্তত উল্লেখযোগ্য বাইট থেকে সর্বাধিক উল্লেখযোগ্য পর্যন্ত)। এর পরে, নির্দিষ্ট আকারের একটি পেলোড রেকর্ড করা হয়: এটি বেস64 এর সাথে এনকোড করা একটি JAR ফাইল, যা DexClassLoader এর মাধ্যমে ডিকোড করার পরে লোড করা হয়। কোরাল SDK নেটিভ লাইব্রেরি libcoral.so ব্যবহার করে একটি JAR ফাইলে sdk.fkgh.mvp.SdkEntry ক্লাস লোড করে। এই লাইব্রেরিটি OLLVM টুল ব্যবহার করে অস্পষ্ট করা হয়েছে। লোড করা ক্লাসের মধ্যে সঞ্চালনের জন্য প্রারম্ভিক বিন্দু বা এন্ট্রি পয়েন্ট হল রান পদ্ধতি।
ফলো-অন পেলোডগুলি যেগুলি ইনস্টল করা ক্ষতিকারক প্লাগইনগুলি ডাউনলোড করে যা প্রতিটি সংক্রামিত ডিভাইসের জন্য বিভিন্ন ধরণের বিভিন্ন ক্রিয়া সম্পাদনের জন্য মিশ্রিত এবং মিলিত হতে পারে। প্লাগইনগুলির মধ্যে একটি উন্নত সিস্টেম অধিকার সহ কোড চালানোর অনুমতি দেয়। ডিফল্টরূপে, অ্যান্ড্রয়েড বিশেষাধিকারপ্রাপ্ত প্রক্রিয়াগুলিকে ওয়েবভিউ ব্যবহার করতে বাধা দেয়, যা অ্যাপে ওয়েবপৃষ্ঠাগুলি প্রদর্শন করার জন্য OS-এর একটি এক্সটেনশন। এই নিরাপত্তা সীমাবদ্ধতা বাইপাস করার জন্য, নেক্রো একটি হ্যাকিং কৌশল ব্যবহার করে যা একটি নামে পরিচিত প্রতিফলন আক্রমণ WebView কারখানার একটি পৃথক উদাহরণ তৈরি করতে।
এই প্লাগইনটি অন্যান্য এক্সিকিউটেবল ফাইলগুলিও ডাউনলোড এবং চালাতে পারে যা WebView এর মাধ্যমে রেন্ডার করা লিঙ্কগুলিকে প্রতিস্থাপন করবে। উন্নত সিস্টেম অধিকারের সাথে চলার সময়, এই এক্সিকিউটেবল ফাইলগুলি পেইড সাবস্ক্রিপশনের জন্য নিশ্চিতকরণ কোড যোগ করতে এবং আক্রমণকারী দ্বারা নিয়ন্ত্রিত লিঙ্কগুলিতে লোড করা কোড ডাউনলোড এবং কার্যকর করতে URL গুলি সংশোধন করার ক্ষমতা রাখে। গবেষকরা নেক্রোর বিশ্লেষণে পাঁচটি ভিন্ন পেলোড তালিকাভুক্ত করেছেন।
নেক্রোর মডুলার ডিজাইন ম্যালওয়্যার আচরণের জন্য অগণিত পথ খুলে দেয়। ক্যাসপারস্কি নিম্নলিখিত চিত্র প্রদান করেছে যা একটি ওভারভিউ প্রদান করে।
গবেষকরা দুটি গুগল প্লে অ্যাপে নেক্রো খুঁজে পেয়েছেন। এর মধ্যে একটি ছিল Vuta ক্যামেরা, যা এখন পর্যন্ত 10 মিলিয়ন বার ডাউনলোড করা হয়েছে। Vuta ক্যামেরা সংস্করণ 6.3.2.148 থেকে 6.3.6.148 এ একটি দূষিত SDK রয়েছে যা অ্যাপটিকে সংক্রমিত করেছে। দূষিত উপাদান অপসারণ করার জন্য অ্যাপটি আপডেট করা হয়েছে। প্রায় 1 মিলিয়ন বার ডাউনলোড করা একটি পৃথক অ্যাপ – ম্যাক্স ব্রাউজার নামে পরিচিত -ও সংক্রামিত হয়েছিল। সেই অ্যাপটি আর Google Play-এ উপলব্ধ নেই৷
গবেষকরা আরও দেখেছেন যে নেক্রো বিকল্প বাজারে উপলব্ধ বিভিন্ন অ্যান্ড্রয়েড অ্যাপকে সংক্রমিত করছে। এই অ্যাপগুলি সাধারণত Spotify-এর মতো বৈধ অ্যাপের পরিবর্তিত সংস্করণ হিসেবে নিজেদের উপস্থাপন করে। মাইনক্রাফ্টহোয়াটসঅ্যাপ, হোঁচট খাওয়া বন্ধু, গাড়ি পার্কিং মাল্টিপ্লেয়ারএবং তরমুজ স্যান্ডবক্স,
যারা উদ্বিগ্ন যে তারা নেক্রোতে সংক্রমিত হতে পারে তাদের সংক্রমণের লক্ষণগুলির জন্য তাদের ডিভাইসগুলি পরীক্ষা করা উচিত, যেমনটি নীচে তালিকাভুক্ত করা হয়েছে। এটা লিখুন
গোলাম রাব্বি 
