স্ট্রংপিটি গুপ্তচরবৃত্তির প্রচারণা Android ব্যবহারকারীদের লক্ষ্য করে

ESET গবেষকরা একটি সক্রিয় প্রচারাভিযান চিহ্নিত করেছেন যা আমরা স্ট্রংপিটি এপিটি গ্রুপকে দায়ী করেছি। নভেম্বর 2021 থেকে সক্রিয়, প্রচারাভিযানটি Shagle-এর ছদ্মবেশী একটি ওয়েবসাইটের মাধ্যমে একটি দূষিত অ্যাপ বিতরণ করেছে – একটি র্যান্ডম-ভিডিও-চ্যাট পরিষেবা যা অপরিচিতদের মধ্যে এনক্রিপ্ট করা যোগাযোগ প্রদান করে। সম্পূর্ণরূপে ওয়েব-ভিত্তিক, প্রকৃত শ্যাগল সাইট থেকে ভিন্ন যা তার পরিষেবাগুলি অ্যাক্সেস করার জন্য কোনও অফিসিয়াল মোবাইল অ্যাপ অফার করে না, কপিক্যাট সাইটটি ডাউনলোড করার জন্য শুধুমাত্র একটি অ্যান্ড্রয়েড অ্যাপ সরবরাহ করে এবং কোনও ওয়েব-ভিত্তিক স্ট্রিমিং সম্ভব নয়।

দূষিত অ্যাপটি প্রকৃতপক্ষে, বৈধ টেলিগ্রাম অ্যাপের একটি সম্পূর্ণ কার্যকরী কিন্তু ট্রোজানাইজড সংস্করণ, যাইহোক, অস্তিত্বহীন Shagle অ্যাপ হিসেবে উপস্থাপিত। আমরা এই ব্লগপোস্টের বাকি অংশে এটিকে নকল Shagle অ্যাপ, ট্রোজানাইজড টেলিগ্রাম অ্যাপ বা স্ট্রংপিটি ব্যাকডোর হিসাবে উল্লেখ করব। ESET পণ্যগুলি এই হুমকিটিকে Android/StrongPity.A হিসাবে সনাক্ত করে৷

এই স্ট্রংপিটি ব্যাকডোরে বিভিন্ন গুপ্তচরবৃত্তির বৈশিষ্ট্য রয়েছে: এর 11টি গতিশীলভাবে ট্রিগার করা মডিউল ফোন কল রেকর্ড করা, এসএমএস বার্তা সংগ্রহ, কল লগের তালিকা, যোগাযোগের তালিকা এবং আরও অনেক কিছুর জন্য দায়ী৷ এই মডিউলগুলি প্রথমবারের মতো নথিভুক্ত করা হচ্ছে। ক্ষতিগ্রস্ত ব্যক্তি যদি দূষিত স্ট্রংপিটি অ্যাপ অ্যাক্সেসিবিলিটি পরিষেবাগুলি মঞ্জুর করে, তবে এর মডিউলগুলির একটিতেও ইনকামিং বিজ্ঞপ্তিগুলিতে অ্যাক্সেস থাকবে এবং ভাইবার, স্কাইপ, জিমেইল, মেসেঞ্জার পাশাপাশি টিন্ডারের মতো 17টি অ্যাপ থেকে যোগাযোগকে উত্তোলন করতে সক্ষম হবে৷

প্রচারাভিযানটি সম্ভবত খুব সংকীর্ণভাবে লক্ষ্যবস্তু করা হয়েছে, যেহেতু ESET টেলিমেট্রি এখনও কোনো ভুক্তভোগীকে শনাক্ত করতে পারেনি। আমাদের গবেষণার সময়, কপিক্যাট ওয়েবসাইট থেকে উপলব্ধ ম্যালওয়্যারের বিশ্লেষণকৃত সংস্করণটি আর সক্রিয় ছিল না এবং এটিকে সফলভাবে ইনস্টল করা এবং এর ব্যাকডোর কার্যকারিতা ট্রিগার করা আর সম্ভব ছিল না কারণ StrongPity তার ট্রোজানাইজড টেলিগ্রাম অ্যাপের জন্য নিজস্ব API আইডি পায়নি। কিন্তু হুমকি অভিনেতা দূষিত অ্যাপ আপডেট করার সিদ্ধান্ত নিলে যে কোনো সময় এটি পরিবর্তন হতে পারে।

সংক্ষিপ্ত বিবরণ

এই StrongPity প্রচারাভিযানটি "ডাচ" শব্দ ধারণকারী একটি ডোমেন থেকে বিতরণ করা একটি Android ব্যাকডোরকে কেন্দ্র করে। এই ওয়েবসাইটটি Shagle নামে বৈধ পরিষেবার নকল করে shagle.com. চিত্র 1 এ আপনি উভয় ওয়েবসাইটের হোম পেজ দেখতে পারেন। দূষিত অ্যাপটি সরাসরি ছদ্মবেশী ওয়েবসাইট থেকে সরবরাহ করা হয়েছে এবং Google Play স্টোর থেকে কখনও উপলব্ধ করা হয়নি। এটি বৈধ টেলিগ্রাম অ্যাপের একটি ট্রোজানাইজড সংস্করণ, এটিকে উপস্থাপন করা হয়েছে যেন এটি Shagle অ্যাপ, যদিও বর্তমানে কোনো অফিসিয়াল শ্যাগল অ্যান্ড্রয়েড অ্যাপ নেই।

আপনি চিত্র 2-এ দেখতে পাচ্ছেন, জাল সাইটের HTML কোডে প্রমাণ রয়েছে যে এটি বৈধ থেকে কপি করা হয়েছে shagle.com 1 নভেম্বর সাইট^st, 2021, স্বয়ংক্রিয় টুল ব্যবহার করে এইচটি ট্র্যাক. দূষিত ডোমেনটি একই দিনে নিবন্ধিত হয়েছিল, তাই সেই তারিখ থেকে কপিক্যাট সাইট এবং নকল Shagle অ্যাপ ডাউনলোডের জন্য উপলব্ধ থাকতে পারে।

Victimology

জুলাই এক্সএনএমএক্সে^th, 2022, VirusTotal-এ আমাদের YARA বিধিগুলির মধ্যে একটি ট্রিগার হয়েছিল যখন একটি দূষিত অ্যাপ এবং একটি ওয়েবসাইটের লিঙ্ক নকল করে shagle.com আপলোড করা হয়েছিল। একই সময়ে, আমরা অবহিত করা হয় Twitter যে নমুনা সম্পর্কে, যদিও এটি ভুলভাবে ছিল বাহামুতকে দায়ী করা হয়েছে. ESET টেলিমেট্রি ডেটা এখনও কোনও ভুক্তভোগীকে শনাক্ত করতে পারে না, পরামর্শ দেয় যে প্রচারটি সংকীর্ণভাবে লক্ষ্যবস্তু করা হয়েছে।

আরোপণ

কপিক্যাট শ্যাগল ওয়েবসাইট দ্বারা বিতরণ করা APKটি 3 সালে আবিষ্কৃত একটি ট্রোজানাইজড সিরিয়ান ই-গভ অ্যাপ হিসাবে একই কোড-স্বাক্ষরকারী শংসাপত্রের সাথে স্বাক্ষরিত (চিত্র 2021 দেখুন) প্রবণতা মাইক্রো, যা স্ট্রংপিটির জন্য দায়ী ছিল।

জাল Shagle অ্যাপে ক্ষতিকারক কোডটি আগের মোবাইল প্রচারাভিযানে StrongPity দ্বারা দেখা গিয়েছিল এবং এটি একটি সাধারণ, কিন্তু কার্যকরী, ব্যাকডোর প্রয়োগ করে৷ আমরা দেখেছি এই কোডটি শুধুমাত্র StrongPity দ্বারা পরিচালিত প্রচারাভিযানে ব্যবহার করা হচ্ছে। চিত্র 4-এ আপনি কিছু যোগ করা দূষিত শ্রেণী দেখতে পাবেন যেখানে অনেকগুলি অস্পষ্ট নাম রয়েছে এমনকি উভয় প্রচারাভিযানের কোডে একই রকম।

এই প্রচারাভিযানের ব্যাকডোর কোডের সাথে ট্রোজানাইজড সিরিয়ান ই-গভ অ্যাপ (SHA-1: 5A5910C2C9180382FCF7A939E9909044F0E8918B), এটি কার্যকারিতা প্রসারিত করেছে কিন্তু একই কোড একই ফাংশন প্রদান করতে ব্যবহার করা হচ্ছে। চিত্র 5 এবং চিত্র 6-এ আপনি উভয় নমুনার কোড তুলনা করতে পারেন যা উপাদানগুলির মধ্যে বার্তা প্রেরণের জন্য দায়ী। এই বার্তাগুলি পিছনের দরজার দূষিত আচরণকে ট্রিগার করার জন্য দায়ী৷ তাই, আমরা দৃঢ়ভাবে বিশ্বাস করি যে জাল Shagle অ্যাপটি StrongPity গ্রুপের সাথে যুক্ত।

প্রযুক্তিগত বিশ্লেষণ

প্রাথমিক অ্যাক্সেস

এই ব্লগপোস্টের ওভারভিউ বিভাগে বর্ণিত হিসাবে, জাল Shagle অ্যাপটি Shagle কপিক্যাট ওয়েবসাইটে হোস্ট করা হয়েছে, যেখান থেকে ভুক্তভোগীদের অ্যাপটি ডাউনলোড এবং ইনস্টল করতে বেছে নিতে হয়েছিল। অ্যাপটি Google Play থেকে উপলব্ধ ছিল এমন কোনও উপাত্ত ছিল না এবং আমরা জানি না কীভাবে সম্ভাব্য শিকারদের প্রলুব্ধ করা হয়েছিল, বা অন্যথায়, জাল ওয়েবসাইট আবিষ্কার করা হয়েছিল।

টুলসেট

কপিক্যাট ওয়েবসাইটের বিবরণ অনুসারে, অ্যাপটি বিনামূল্যে এবং নতুন লোকেদের সাথে দেখা করতে এবং চ্যাট করতে ব্যবহার করার উদ্দেশ্যে। যাইহোক, ডাউনলোড করা অ্যাপটি একটি দূষিতভাবে প্যাচ করা টেলিগ্রাম অ্যাপ, বিশেষ করে টেলিগ্রাম সংস্করণ 7.5.0 (22467), যা 25 ফেব্রুয়ারির কাছাকাছি ডাউনলোডের জন্য উপলব্ধ ছিল^th, 2022.

টেলিগ্রামের পুনরায় প্যাকেজ করা সংস্করণটি বৈধ টেলিগ্রাম অ্যাপের মতো একই প্যাকেজ নাম ব্যবহার করে। প্রতিটি অ্যান্ড্রয়েড অ্যাপের জন্য প্যাকেজের নামগুলি অনন্য আইডি হতে হবে এবং যে কোনও ডিভাইসে অনন্য হতে হবে। এর মানে হল যে যদি অফিসিয়াল টেলিগ্রাম অ্যাপটি ইতিমধ্যেই সম্ভাব্য শিকারের ডিভাইসে ইনস্টল করা থাকে, তাহলে এই ব্যাকডোর সংস্করণটি ইনস্টল করা যাবে না; চিত্র 7 দেখুন। এর অর্থ হতে পারে দুটি জিনিসের মধ্যে একটি - হয় হুমকি অভিনেতা প্রথমে সম্ভাব্য শিকারদের সাথে যোগাযোগ করেন এবং টেলিগ্রাম ইনস্টল করা থাকলে তা তাদের ডিভাইস থেকে আনইনস্টল করার জন্য চাপ দেন, অথবা প্রচারাভিযানটি সেসব দেশে ফোকাস করে যেখানে যোগাযোগের জন্য টেলিগ্রাম ব্যবহার বিরল।

স্ট্রংপিটির ট্রোজানাইজড টেলিগ্রাম অ্যাপটি যোগাযোগের জন্য অফিসিয়াল সংস্করণের মতোই কাজ করা উচিত ছিল, টেলিগ্রাম ওয়েবসাইটে ভালভাবে নথিভুক্ত স্ট্যান্ডার্ড API ব্যবহার করে – কিন্তু অ্যাপটি আর কাজ করে না, তাই আমরা পরীক্ষা করতে অক্ষম।

আমাদের গবেষণার সময়, কপিক্যাট ওয়েবসাইট থেকে উপলব্ধ ম্যালওয়ারের বর্তমান সংস্করণটি আর সক্রিয় ছিল না এবং এটি সফলভাবে ইনস্টল করা এবং এর ব্যাকডোর কার্যকারিতা ট্রিগার করা আর সম্ভব ছিল না। যখন আমরা আমাদের ফোন নম্বর ব্যবহার করে সাইন আপ করার চেষ্টা করি, তখন পুনরায় প্যাকেজ করা টেলিগ্রাম অ্যাপ সার্ভার থেকে API আইডি পেতে পারেনি, এবং তাই সঠিকভাবে কাজ করেনি। চিত্র 8 এ যেমন দেখা গেছে, অ্যাপটি একটি প্রদর্শন করেছে API_ID_PUBLISHED_FLOOD ত্রুটি।

টেলিগ্রামের উপর ভিত্তি করে ত্রুটি ডকুমেন্টেশন, মনে হচ্ছে StrongPity তার নিজস্ব API ID প্রাপ্ত করেনি। পরিবর্তে, এটি প্রাথমিক পরীক্ষার উদ্দেশ্যে টেলিগ্রামের ওপেন-সোর্স কোডে অন্তর্ভুক্ত নমুনা API আইডি ব্যবহার করেছে। টেলিগ্রাম এপিআই আইডি ব্যবহার নিরীক্ষণ করে এবং নমুনা এপিআই আইডি সীমিত করে, তাই একটি প্রকাশিত অ্যাপে এর ব্যবহার চিত্র 8-এ দেখা ত্রুটি দেখা দেয়। ত্রুটির কারণে, সাইন আপ করা এবং অ্যাপটি ব্যবহার করা বা এর ক্ষতিকারক কার্যকারিতা আর ট্রিগার করা সম্ভব নয়। . এর অর্থ হতে পারে যে স্ট্রংপিটি অপারেটররা এটির মাধ্যমে ভাবেননি, বা সম্ভবত অ্যাপটি প্রকাশ করা এবং এটি অ্যাপ আইডি অতিরিক্ত ব্যবহারের জন্য টেলিগ্রাম দ্বারা নিষ্ক্রিয় হওয়ার মধ্যে শিকারদের উপর গুপ্তচরবৃত্তি করার পর্যাপ্ত সময় ছিল। যেহেতু অ্যাপটির কোনও নতুন এবং কার্যকরী সংস্করণ কখনও ওয়েবসাইটের মাধ্যমে উপলব্ধ করা হয়নি, তাই এটি সুপারিশ করতে পারে যে স্ট্রংপিটি সফলভাবে তার পছন্দসই লক্ষ্যগুলিতে ম্যালওয়্যার স্থাপন করেছে।

ফলস্বরূপ, আমাদের গবেষণার সময় ভুয়া ওয়েবসাইটে পাওয়া নকল Shagle অ্যাপটি আর সক্রিয় ছিল না। যাইহোক, হুমকি অভিনেতারা দূষিত অ্যাপ আপডেট করার সিদ্ধান্ত নিলে এটি যেকোনো সময় পরিবর্তন হতে পারে।

স্ট্রংপিটি ব্যাকডোর কোডের উপাদান এবং অনুমতিগুলি টেলিগ্রাম অ্যাপের সাথে সংযুক্ত করা হয়েছে Andro আইডি ফাইল চিত্র 9-এ দেখা যাবে, এটি ম্যালওয়্যারের জন্য কী কী অনুমতি প্রয়োজন তা দেখা সহজ করে তোলে।

অ্যান্ড্রয়েড ম্যানিফেস্ট থেকে আমরা দেখতে পাচ্ছি যে দূষিত ক্লাস যোগ করা হয়েছে org.telegram.messenger প্যাকেজটি আসল অ্যাপের অংশ হিসাবে উপস্থিত হবে।

প্রাথমিক দূষিত কার্যকারিতা তিনটি ব্রডকাস্ট রিসিভারের একটি দ্বারা ট্রিগার হয় যা সংজ্ঞায়িত ক্রিয়াগুলির পরে কার্যকর করা হয় - BOOT_COMPLETED, ব্যাটারিতে অল্প চার্জ আছে, বা USER_PRESENT. প্রথম শুরুর পরে, এটি গতিশীলভাবে নিরীক্ষণের জন্য অতিরিক্ত সম্প্রচার রিসিভার নিবন্ধন করে SCREEN_ON, SCREEN_OFF, এবং CONNECTIVITY_CHANGE ঘটনা জাল শ্যাগল অ্যাপটি বিভিন্ন ক্রিয়াকলাপ ট্রিগার করতে এর উপাদানগুলির মধ্যে যোগাযোগ করতে আইপিসি (আন্তঃপ্রক্রিয়া যোগাযোগ) ব্যবহার করে। এটি আপস করা ডিভাইস সম্পর্কে প্রাথমিক তথ্য পাঠাতে HTTPS ব্যবহার করে C&C সার্ভারের সাথে যোগাযোগ করে এবং 11টি বাইনারি মডিউল সমন্বিত একটি AES-এনক্রিপ্ট করা ফাইল পায় যা প্যারেন্ট অ্যাপ দ্বারা গতিশীলভাবে কার্যকর করা হবে; চিত্র 10 দেখুন। চিত্র 11-এ দেখা গেছে, এই মডিউলগুলি অ্যাপের অভ্যন্তরীণ স্টোরেজে সংরক্ষিত আছে, /data/user/0/org.telegram.messenger/files/.li/.

প্রতিটি মডিউল বিভিন্ন কার্যকারিতার জন্য দায়ী। মডিউল নামের তালিকা স্থানীয় ভাগ করা পছন্দসমূহে সংরক্ষণ করা হয় sharedconfig.xml ফাইল চিত্র 12 দেখুন।

যখনই প্রয়োজন হয় তখন প্যারেন্ট অ্যাপ দ্বারা মডিউলগুলি গতিশীলভাবে ট্রিগার করা হয়। প্রতিটি মডিউলের নিজস্ব মডিউল নাম রয়েছে এবং বিভিন্ন কার্যকারিতার জন্য দায়ী যেমন:

• libarm.jar (সেমি মডিউল) - ফোন কল রেকর্ড করে
• libmpeg4.jar (nt মডিউল) – 17টি অ্যাপ থেকে ইনকামিং নোটিফিকেশন মেসেজের টেক্সট সংগ্রহ করে
• local.jar (fm/fp মডিউল) - ডিভাইসে ফাইল তালিকা (ফাইল ট্রি) সংগ্রহ করে
• phone.jar (এমএস মডিউল) - পরিচিতির নাম, চ্যাট বার্তা এবং তারিখের মাধ্যমে মেসেজিং অ্যাপগুলিতে গুপ্তচরবৃত্তি করার জন্য অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহার করে
• সম্পদ জার (sm মডিউল) - ডিভাইসে সংরক্ষিত এসএমএস বার্তা সংগ্রহ করে
• service.jar (lo মডিউল) - ডিভাইসের অবস্থান পায়
• systemui.jar (sy মডিউল) - ডিভাইস এবং সিস্টেম তথ্য সংগ্রহ করে
• টাইমার জার (ia মডিউল) - ইনস্টল করা অ্যাপগুলির একটি তালিকা সংগ্রহ করে
• toolkit.jar (cn মডিউল) - যোগাযোগের তালিকা সংগ্রহ করে
• watchkit.jar (ac মডিউল) - ডিভাইস অ্যাকাউন্টের একটি তালিকা সংগ্রহ করে
• wearkit.jar (cl মডিউল) – কল লগের একটি তালিকা সংগ্রহ করে

সমস্ত প্রাপ্ত তথ্য পরিষ্কার ইন সংরক্ষণ করা হয় /data/user/0/org.telegram.messenger/databases/outdata, AES ব্যবহার করে এনক্রিপ্ট করা এবং C&C সার্ভারে পাঠানোর আগে, আপনি চিত্র 13-এ দেখতে পাচ্ছেন।

এই স্ট্রংপিটি ব্যাকডোরে মোবাইলের জন্য আবিষ্কৃত প্রথম স্ট্রংপিটি সংস্করণের তুলনায় গুপ্তচরবৃত্তির বৈশিষ্ট্যগুলিকে প্রসারিত করেছে৷ এটি ভিকটিমকে অ্যাক্সেসিবিলিটি পরিষেবাগুলি সক্রিয় করতে এবং বিজ্ঞপ্তি অ্যাক্সেস পেতে অনুরোধ করতে পারে; চিত্র 14 দেখুন। শিকার যদি তাদের সক্ষম করে, ম্যালওয়্যার ইনকামিং নোটিফিকেশন গুপ্তচরবৃত্তি করবে এবং অন্যান্য অ্যাপ থেকে চ্যাট কমিউনিকেশনের অপব্যবহার করতে অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহার করবে।

চিত্র 14. শিকারের কাছ থেকে ম্যালওয়্যার অনুরোধ, বিজ্ঞপ্তি অ্যাক্সেস এবং অ্যাক্সেসিবিলিটি পরিষেবা

বিজ্ঞপ্তি অ্যাক্সেসের সাথে, ম্যালওয়্যারটি 17টি লক্ষ্যযুক্ত অ্যাপ থেকে প্রাপ্ত বিজ্ঞপ্তি বার্তা পড়তে পারে। এখানে তাদের প্যাকেজ নামের একটি তালিকা আছে:

• ম্যাসেঞ্জার (com.facebook.orca)
• মেসেঞ্জার লাইট (com.facebook.mlite)
• ভাইবার - নিরাপদ চ্যাট এবং কল (com.viber.voip)
• স্কাইপ (com.skype.raider)
• লাইন: কল এবং বার্তা (jp.naver.line.android)
• কিক — মেসেজিং এবং চ্যাট অ্যাপ (kik.android)
• ট্যাঙ্গো-লাইভ স্ট্রিম এবং ভিডিও চ্যাট (com.sgiggle.production)
• Hangouts (com.google.android.talk)
• টেলিগ্রাম (org.telegram.messenger)
• WeChat (com.tencent.mm)
• স্ন্যাপচ্যাট (com.snapchat.android)
• টিন্ডার (com.tinder)
• হাইক নিউজ ও কন্টেন্ট (com.bsb.hike)
• ইনস্টাগ্রাম (com.instagram.android)
• টুইটার (com.twitter.android)
• জিমেইল (com.google.android.gm)
• imo-আন্তর্জাতিক কল এবং চ্যাট (com.imo.android.imoim)

ডিভাইসটি ইতিমধ্যে রুট করা থাকলে, ম্যালওয়্যারটি নীরবে অনুমতি দেওয়ার চেষ্টা করে৷ WRITE_SETTINGS, WRITE_SECURE_SETTINGS, REBOOT, MOUNT_FORMAT_FILESYSTEMS, MODIFY_PHONE_STATE, PACKAGE_USAGE_STATS, READ_PRIVILEGED_PHONE_STATE, অ্যাক্সেসিবিলিটি পরিষেবাগুলি সক্ষম করতে এবং বিজ্ঞপ্তি অ্যাক্সেস মঞ্জুর করতে৷ স্ট্রংপিটি ব্যাকডোর তারপর সিকিউরিটিলগএজেন্ট অ্যাপটি অক্ষম করার চেষ্টা করে (com.samsung.android.securitylogagent), যা একটি অফিসিয়াল সিস্টেম অ্যাপ যা Samsung ডিভাইসগুলির নিরাপত্তা রক্ষা করতে সাহায্য করে এবং ম্যালওয়্যার থেকে আসা সমস্ত অ্যাপ বিজ্ঞপ্তিগুলিকে অক্ষম করে যা অ্যাপ ত্রুটি, ক্র্যাশ বা সতর্কতার ক্ষেত্রে ভবিষ্যতে শিকারের কাছে প্রদর্শিত হতে পারে৷ স্ট্রংপিটি ব্যাকডোর নিজেই কোনও ডিভাইস রুট করার চেষ্টা করে না।

ডাউনলোড করা মডিউলগুলিকে ডিক্রিপ্ট করতে AES অ্যালগরিদম CBC মোড এবং হার্ডকোডড কী ব্যবহার করে:

• AES কী - aaanothingimpossiblebbb
• AES IV - aaaanothingimpos

উপসংহার

স্ট্রংপিটি এপিটি গ্রুপ দ্বারা পরিচালিত মোবাইল প্রচারাভিযানটি তার অ্যান্ড্রয়েড ব্যাকডোর বিতরণ করার জন্য একটি বৈধ পরিষেবার ছদ্মবেশ ধারণ করেছে। গ্রুপের ব্যাকডোর কোডের একটি বৈকল্পিক অন্তর্ভুক্ত করতে স্ট্রংপিটি অফিসিয়াল টেলিগ্রাম অ্যাপটিকে পুনরায় প্যাকেজ করেছে।

সেই দূষিত কোড, এর কার্যকারিতা, শ্রেণির নাম এবং APK ফাইলে স্বাক্ষর করার জন্য ব্যবহৃত শংসাপত্র, আগের প্রচারাভিযানের মতোই; সুতরাং আমরা উচ্চ আত্মবিশ্বাসের সাথে বিশ্বাস করি যে এই অপারেশনটি স্ট্রংপিটি গ্রুপের অন্তর্গত।

আমাদের গবেষণার সময়, কপিক্যাট ওয়েবসাইটে যে নমুনা পাওয়া গিয়েছিল তার কারণে অক্ষম করা হয়েছিল API_ID_PUBLISHED_FLOOD ত্রুটি, যার ফলে ক্ষতিকারক কোডটি ট্রিগার হচ্ছে না এবং সম্ভাব্য শিকাররা তাদের ডিভাইস থেকে অ-কার্যকর অ্যাপটি সরিয়ে ফেলতে পারে।

কোড বিশ্লেষণ প্রকাশ করে যে ব্যাকডোরটি মডুলার এবং অতিরিক্ত বাইনারি মডিউলগুলি C&C সার্ভার থেকে ডাউনলোড করা হয়৷ এর মানে হল যে স্ট্রংপিটি গ্রুপ দ্বারা পরিচালিত হলে প্রচারাভিযানের অনুরোধের সাথে মানানসই করার জন্য ব্যবহৃত মডিউলের সংখ্যা এবং ধরন যেকোনো সময় পরিবর্তন করা যেতে পারে।

আমাদের বিশ্লেষণের ভিত্তিতে, এটি স্ট্রংপিটির অ্যান্ড্রয়েড ম্যালওয়ারের দ্বিতীয় সংস্করণ বলে মনে হচ্ছে; এর প্রথম সংস্করণের তুলনায়, এটি অ্যাক্সেসযোগ্যতা পরিষেবা এবং বিজ্ঞপ্তি অ্যাক্সেসের অপব্যবহার করে, স্থানীয় ডাটাবেসে সংগৃহীত ডেটা সঞ্চয় করে, চালানোর চেষ্টা করে su কমান্ড, এবং বেশিরভাগ ডেটা সংগ্রহের জন্য ডাউনলোড করা মডিউল ব্যবহার করে।

আইওসি

নথি পত্র

রয়েছে SHA-1	ফাইলের নাম	ESET সনাক্তকরণের নাম	বিবরণ
50F79C7DFABECF04522AEB2AC987A800AB5EC6D7	video.apk	Android/StrongPity.A	স্ট্রংপিটি ব্যাকডোর (বৈধ অ্যান্ড্রয়েড টেলিগ্রাম অ্যাপ দূষিত কোড দিয়ে পুনরায় প্যাকেজ করা হয়েছে)।
77D6FE30DAC41E1C90BDFAE3F1CFE7091513FB91	libarm.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ফোন কল রেকর্ড করার জন্য দায়ী।
5A15F516D5C58B23E19D6A39325B4B5C5590BDE0	libmpeg4.jar	Android/StrongPity.A	প্রাপ্ত বিজ্ঞপ্তির পাঠ্য সংগ্রহের জন্য দায়ী StrongPity মোবাইল মডিউল।
D44818C061269930E50868445A3418A0780903FE	local.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ডিভাইসে একটি ফাইল তালিকা সংগ্রহের জন্য দায়ী।
F1A14070D5D50D5A9952F9A0B4F7CA7FED2199EE	phone.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল অন্যান্য অ্যাপে গুপ্তচর করার জন্য অ্যাক্সেসিবিলিটি পরিষেবার অপব্যবহারের জন্য দায়ী।
3BFAD08B9AC63AF5ECF9AA59265ED24D0C76D91E	সম্পদ জার	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ডিভাইসে সংরক্ষিত এসএমএস বার্তা সংগ্রহের জন্য দায়ী।
5127E75A8FAF1A92D5BD0029AF21548AFA06C1B7	service.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ডিভাইসের অবস্থান পাওয়ার জন্য দায়ী।
BD40DF3AD0CE0E91ACCA9488A2FE5FEEFE6648A0	systemui.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ডিভাইস এবং সিস্টেম তথ্য সংগ্রহের জন্য দায়ী।
ED02E16F0D57E4AD2D58F95E88356C17D6396658	টাইমার জার	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ইনস্টল করা অ্যাপের তালিকা সংগ্রহের জন্য দায়ী।
F754874A76E3B75A5A5C7FE849DDAE318946973B	toolkit.jar	Android/StrongPity.A	পরিচিতি তালিকা সংগ্রহের জন্য দায়ী StrongPity মোবাইল মডিউল।
E46B76CADBD7261FE750DBB9B0A82F262AFEB298	watchkit.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল ডিভাইস অ্যাকাউন্টের তালিকা সংগ্রহের জন্য দায়ী।
D9A71B13D3061BE12EE4905647DDC2F1189F00DE	wearkit.jar	Android/StrongPity.A	স্ট্রংপিটি মোবাইল মডিউল কল লগের তালিকা সংগ্রহের জন্য দায়ী।

নেটওয়ার্ক

IP	প্রদানকারী	প্রথম দেখা	বিস্তারিত
141.255.161[।]185	নেমচীপ	2022-07-28	intagrefedcircuitchip[.]com সিএন্ডসি
185.12.46[।]138	পোর্কবুন	2020-04-21	নেটওয়ার্ক সফটওয়্যার সেগমেন্ট[.]com সিএন্ডসি

মিটার ATT এবং CK কৌশল

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 12 সংস্করণ মিটার ATT এবং CK কাঠামোর।

যুদ্ধকৌশল	ID	নাম	বিবরণ
অধ্যবসায়	T1398	বুট বা লগইন ইনিশিয়ালাইজেশন স্ক্রিপ্ট	স্ট্রংপিটি ব্যাকডোর রিসিভ করে BOOT_COMPLETED ডিভাইস স্টার্টআপে সক্রিয় করার জন্য সম্প্রচারের অভিপ্রায়।
	T1624.001	ইভেন্ট ট্রিগারড এক্সিকিউশন: ব্রডকাস্ট রিসিভার	স্ট্রংপিটি ব্যাকডোর কার্যকারিতা ট্রিগার হয় যদি এই ইভেন্টগুলির মধ্যে একটি ঘটে: ব্যাটারিতে অল্প চার্জ আছে, USER_PRESENT, SCREEN_ON, SCREEN_OFF, বা CONNECTIVITY_CHANGE.
প্রতিরক্ষা ফাঁকি	T1407	রানটাইমে নতুন কোড ডাউনলোড করুন	স্ট্রংপিটি ব্যাকডোর অতিরিক্ত বাইনারি মডিউলগুলি ডাউনলোড এবং কার্যকর করতে পারে।
	T1406	অস্পষ্ট ফাইল বা তথ্য	StrongPity ব্যাকডোর AES এনক্রিপশন ব্যবহার করে ডাউনলোড করা মডিউলকে অস্পষ্ট করতে এবং এর APK-এ স্ট্রিং লুকানোর জন্য।
	T1628.002	আর্টিফ্যাক্ট লুকান: ইউজার ইভাসন	স্ট্রংপিটি ব্যাকডোর তার উপস্থিতি আড়াল করতে ম্যালওয়্যার থেকে আসা সমস্ত অ্যাপ বিজ্ঞপ্তিগুলিকে অক্ষম করতে পারে।
	T1629.003	দুর্বল প্রতিরক্ষা: অক্ষম বা পরিবর্তন সরঞ্জাম	স্ট্রংপিটি ব্যাকডোর রুট থাকলে এটি সিকিউরিটিলগএজেন্টকে অক্ষম করে (com.samsung.android.securitylogagent) উপস্থিত থাকলে।
আবিষ্কার	T1420	ফাইল এবং ডিরেক্টরি আবিষ্কার	স্ট্রংপিটি ব্যাকডোর বাহ্যিক সঞ্চয়স্থানে উপলব্ধ ফাইলগুলি তালিকাভুক্ত করতে পারে।
	T1418	সফটওয়্যার আবিষ্কার	স্ট্রংপিটি ব্যাকডোর ইনস্টল করা অ্যাপ্লিকেশনগুলির একটি তালিকা পেতে পারে।
	T1422	সিস্টেম নেটওয়ার্ক কনফিগারেশন আবিষ্কার	StrongPity ব্যাকডোর IMEI, IMSI, IP ঠিকানা, ফোন নম্বর এবং দেশ বের করতে পারে।
	T1426	সিস্টেম তথ্য আবিষ্কার	স্ট্রংপিটি ব্যাকডোর ইন্টারনেট সংযোগের ধরন, সিম সিরিয়াল নম্বর, ডিভাইস আইডি এবং সাধারণ সিস্টেম তথ্য সহ ডিভাইস সম্পর্কে তথ্য বের করতে পারে।
সংগ্রহ	T1417.001	ইনপুট ক্যাপচার: কীলগিং	স্ট্রংপিটি ব্যাকডোর চ্যাট বার্তাগুলিতে কীস্ট্রোক লগ করে এবং লক্ষ্যযুক্ত অ্যাপ থেকে কল ডেটা।
	T1517	অ্যাক্সেস বিজ্ঞপ্তি	স্ট্রংপিটি ব্যাকডোর 17টি লক্ষ্যযুক্ত অ্যাপ থেকে বিজ্ঞপ্তি বার্তা সংগ্রহ করতে পারে।
	T1532	সংগৃহীত তথ্য সংরক্ষণাগার	স্ট্রংপিটি ব্যাকডোর AES ব্যবহার করে এক্সফিল্টেটেড ডেটা এনক্রিপ্ট করে।
	T1430	অবস্থান ট্র্যাকিং	স্ট্রংপিটি ব্যাকডোর ডিভাইসের অবস্থান ট্র্যাক করে।
	T1429	অডিও ক্যাপচার	স্ট্রংপিটি ব্যাকডোর ফোন কল রেকর্ড করতে পারে।
	T1513	স্ক্রিন ক্যাপচার	স্ট্রংপিটি ব্যাকডোর ব্যবহার করে ডিভাইসের স্ক্রীন রেকর্ড করতে পারে মিডিয়াপ্রজেকশন ম্যানেজার API- টি।
	T1636.002	সুরক্ষিত ব্যবহারকারীর ডেটা: কল লগ	স্ট্রংপিটি ব্যাকডোর কল লগগুলি বের করতে পারে।
	T1636.003	সুরক্ষিত ব্যবহারকারীর ডেটা: যোগাযোগের তালিকা	স্ট্রংপিটি ব্যাকডোর ডিভাইসের পরিচিতি তালিকা বের করতে পারে।
	T1636.004	সুরক্ষিত ব্যবহারকারীর ডেটা: এসএমএস বার্তা	স্ট্রংপিটি ব্যাকডোর এসএমএস বার্তা বের করতে পারে।
কমান্ড এবং কন্ট্রোল	T1437.001	অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ওয়েব প্রোটোকল	স্ট্রংপিটি ব্যাকডোর তার C&C সার্ভারের সাথে যোগাযোগ করতে HTTPS ব্যবহার করে।
	T1521.001	এনক্রিপ্ট করা চ্যানেল: সিমেট্রিক ক্রিপ্টোগ্রাফি	স্ট্রংপিটি ব্যাকডোর তার যোগাযোগ এনক্রিপ্ট করতে AES ব্যবহার করে।
বহিষ্কার	T1646	C2 চ্যানেল ওভার এক্সফিল্ট্রেশন	স্ট্রংপিটি ব্যাকডোর HTTPS ব্যবহার করে ডেটা বের করে দেয়।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://www.welivesecurity.com/2023/01/10/strongpity-espionage-campaign-targeting-android-users/