حملہ آور انٹرپرائز اینڈرائیڈ ڈیوائسز کے خلاف ایک نیا اسپائی ویئر استعمال کر رہے ہیں، جسے RatMilad کا نام دیا گیا ہے اور کچھ ممالک کی انٹرنیٹ پابندیوں کو حاصل کرنے کے لیے ایک مددگار ایپ کے طور پر بھیس میں ہے۔
Zimperium zLabs کے محققین کے مطابق، ابھی کے لیے، مہم متاثرین کی ذاتی اور کارپوریٹ معلومات اکٹھی کرنے کی ایک وسیع کوشش میں مشرق وسطیٰ میں چل رہی ہے۔
RatMilad کا اصل ورژن ٹیکسٹ می نامی VPN- اور فون نمبر سپوفنگ ایپ کے پیچھے چھپا ہوا تھا، محققین نے انکشاف کیا۔ بدھ کو شائع ہونے والی ایک بلاگ پوسٹ.
ایپ کا فنکشن مبینہ طور پر کسی صارف کو اپنے فون کے ذریعے سوشل میڈیا اکاؤنٹ کی تصدیق کرنے کے قابل بنانا ہے - "ایک عام تکنیک جو سوشل میڈیا کے صارفین ان ممالک میں استعمال کرتے ہیں جہاں رسائی پر پابندی ہو یا وہ دوسرا، تصدیق شدہ اکاؤنٹ چاہیں،" Zimperium zLabs محقق نپن گپتا نے پوسٹ میں لکھا۔
انہوں نے کہا کہ ابھی حال ہی میں، تاہم، محققین نے RatMilad سپائی ویئر کا ایک لائیو نمونہ دریافت کیا جو NumRent کے ذریعے تقسیم کیا جا رہا ہے، جو کہ Text Me کا نیا نام اور گرافک طور پر اپ ڈیٹ کردہ ورژن ہے، ایک ٹیلی گرام چینل کے ذریعے۔ اس کے ڈویلپرز نے ایپ کی تشہیر اور تقسیم کے لیے ایک پروڈکٹ ویب سائٹ بھی بنائی ہے، تاکہ متاثرین کو اس کے جائز ہونے پر یقین دلانے کے لیے بے وقوف بنانے کی کوشش کی جا سکے۔
گپتا نے لکھا، "ہمیں یقین ہے کہ RatMilad کے ذمہ دار بدنیتی پر مبنی اداکاروں نے AppMilad گروپ سے کوڈ حاصل کیا اور اسے ایک جعلی ایپ میں ضم کر دیا تاکہ غیر مشتبہ متاثرین کو تقسیم کیا جا سکے۔"
گپتا نے مزید کہا کہ حملہ آور "سوشل انجینئرنگ کے ذریعے جعلی ایپ کے سائڈ لوڈنگ کی حوصلہ افزائی" اور ڈیوائس پر "اہم اجازتوں" کو فعال کرنے کے لیے ٹیلیگرام چینل کا استعمال کر رہے ہیں۔
محققین نے کہا کہ انسٹال ہونے کے بعد، اور صارف ایپ کو متعدد سروسز تک رسائی کے قابل بناتا ہے، RatMilad لوڈ ہو جاتا ہے، جس سے حملہ آوروں کو ڈیوائس پر تقریباً مکمل کنٹرول حاصل ہو جاتا ہے۔ گپتا نے لکھا، اس کے بعد وہ تصاویر لینے، ویڈیو اور آڈیو ریکارڈ کرنے، GPS کے عین مطابق مقامات حاصل کرنے، اور ڈیوائس سے تصویریں دیکھنے کے لیے ڈیوائس کے کیمرے تک رسائی حاصل کر سکتے ہیں، گپتا نے لکھا۔
RatMilad کو RAT-ty حاصل ہوا: طاقتور ڈیٹا چوری کرنے والا
محققین نے کہا کہ ایک بار تعینات ہونے کے بعد، RatMilad ایک ایڈوانس ریموٹ ایکسیس ٹروجن (RAT) کی طرح رسائی حاصل کرتا ہے جو مختلف قسم کے ڈیٹا کو اکٹھا کرنے اور نکالنے اور مختلف قسم کی بدنیتی پر مبنی کارروائیوں کو انجام دینے کے لیے کمانڈ وصول کرتا ہے اور اس پر عمل درآمد کرتا ہے۔
گپتا نے لکھا، ’’دیگر موبائل سپائیویئر کی طرح جو ہم نے دیکھا ہے، ان آلات سے چوری شدہ ڈیٹا کو نجی کارپوریٹ سسٹم تک رسائی، شکار کو بلیک میل کرنے اور بہت کچھ کرنے کے لیے استعمال کیا جا سکتا ہے،‘‘ گپتا نے لکھا۔ "اس کے بعد بدنیتی پر مبنی اداکار شکار پر نوٹ تیار کر سکتے ہیں، کوئی بھی چوری شدہ مواد ڈاؤن لوڈ کر سکتے ہیں، اور دیگر مذموم طریقوں کے لیے انٹیلی جنس جمع کر سکتے ہیں۔"
محققین نے کہا کہ آپریشنل نقطہ نظر سے، RatMilad مخصوص جاب آئی ڈی اور ریکوسٹ ٹائپ کی بنیاد پر کمانڈ اینڈ کنٹرول سرور کو مختلف درخواستیں انجام دیتا ہے، اور پھر اس ڈیوائس پر انجام پانے والے مختلف کاموں کے لیے غیر معینہ مدت تک انتظار کرتا ہے، محققین نے کہا۔
ستم ظریفی یہ ہے کہ محققین نے ابتدائی طور پر اسپائی ویئر کو اس وقت دیکھا جب یہ کسی صارف کے انٹرپرائز ڈیوائس کو متاثر کرنے میں ناکام رہا۔ انہوں نے پے لوڈ فراہم کرنے والی ایک ایپ کی نشاندہی کی اور تحقیقات کے لیے آگے بڑھے، جس کے دوران انہوں نے ایک ٹیلیگرام چینل کو دریافت کیا جو RatMilad نمونے کو زیادہ وسیع پیمانے پر تقسیم کرنے کے لیے استعمال کیا جا رہا ہے۔ انہوں نے بتایا کہ اس پوسٹ کو 4,700 سے زیادہ مرتبہ دیکھا گیا تھا جس میں 200 سے زیادہ بیرونی شیئرز تھے، ان کا کہنا تھا کہ متاثرین زیادہ تر مشرق وسطیٰ میں ہیں۔
رت میلاد مہم کی وہ خاص مثال اس وقت فعال نہیں تھی جب بلاگ پوسٹ لکھی گئی تھی، لیکن ٹیلیگرام کے دوسرے چینلز ہو سکتے تھے۔ اچھی خبر یہ ہے کہ اب تک محققین کو آفیشل گوگل پلے ایپ اسٹور پر RatMilad کا کوئی ثبوت نہیں ملا ہے۔
سپائیویئر کا مخمصہ
اس کے نام کے مطابق، اسپائی ویئر کو سائے میں چھپنے کے لیے ڈیزائن کیا گیا ہے اور بغیر توجہ کیے متاثرین کی نگرانی کرنے کے لیے آلات پر خاموشی سے چلایا گیا ہے۔
تاہم، اسپائی ویئر خود اپنے پہلے کے خفیہ استعمال کے دائرے سے نکل کر مرکزی دھارے میں آگیا ہے، بنیادی طور پر اس بلاک بسٹر خبر کی بدولت جو پچھلے سال چھڑی تھی کہ پیگاسس اسپائی ویئر کو اسرائیل میں مقیم NSO گروپ نے تیار کیا تھا۔ آمرانہ حکومتوں کی طرف سے زیادتی کی جا رہی تھی۔ صحافیوں، انسانی حقوق کے گروپوں، سیاستدانوں اور وکلاء کی جاسوسی کرنا۔
خاص طور پر اینڈرائیڈ ڈیوائسز اسپائی ویئر مہمات کے لیے کمزور ہیں۔ سوفوس کے محققین نے انکشاف کیا۔ اینڈرائیڈ اسپائی ویئر کے نئے ورژن نومبر 2021 میں مشرق وسطیٰ کے APT گروپ سے منسلک۔ Google TAG سے تجزیہ مئی میں جاری ہونے والی رپورٹ سے پتہ چلتا ہے کہ دنیا بھر سے کم از کم آٹھ حکومتیں خفیہ نگرانی کے مقاصد کے لیے اینڈرائیڈ زیرو ڈے کارنامے خرید رہی ہیں۔
ابھی حال ہی میں، محققین نے ماڈیولر اسپائی ویئر کا ایک انٹرپرائز گریڈ اینڈرائیڈ فیملی دریافت کیا۔ ہرمیٹ کا نام دیا گیا۔ قازقستان کے شہریوں پر ان کی حکومت کی طرف سے نگرانی کرنا۔
اسپائی ویئر سے متعلق مخمصہ یہ ہے کہ مجرمانہ سرگرمیوں کی نگرانی کے لیے منظور شدہ نگرانی کی کارروائیوں میں حکومتوں اور حکام کے ذریعے اس کا جائز استعمال ہو سکتا ہے۔ درحقیقت، cکمپنیاں جو اس وقت سپائی ویئر فروخت کرنے کے گرے اسپیس میں کام کر رہی ہیں — بشمول RCS Labs، NSO گروپ، فن فشر تخلیق کار گاما گروپ, اسرائیلی کمپنی Candiru، اور روس کی Positive Technologies — برقرار رکھتی ہیں کہ وہ اسے صرف جائز انٹیلی جنس اور نافذ کرنے والے اداروں کو فروخت کرتی ہیں۔
تاہم، بیشتر اس دعوے کو مسترد کرتے ہیں، جن میں امریکی حکومت بھی شامل ہے۔ حال ہی میں منظور ان میں سے کئی تنظیمیں انسانی حقوق کی خلاف ورزیوں اور صحافیوں، انسانی حقوق کے محافظوں، اختلاف رائے رکھنے والوں، اپوزیشن کے سیاست دانوں، کاروباری رہنماؤں اور دیگر کو نشانہ بنانے کے لیے اپنا کردار ادا کر رہی ہیں۔
جب آمرانہ حکومتیں یا دھمکی آمیز اداکار اسپائی ویئر حاصل کرتے ہیں، تو یہ واقعی ایک انتہائی گندا کاروبار بن سکتا ہے - اتنا کہ اس بات پر کافی بحث ہوئی ہے کہ اسپائی ویئر کے مسلسل وجود اور فروخت کے بارے میں کیا کرنا ہے۔ بعض کا ماننا ہے۔ حکومتوں کو فیصلہ کرنا چاہیے۔ اسے کون خرید سکتا ہے - جو کہ اسے استعمال کرنے کے لیے حکومت کے مقاصد پر منحصر ہے، جو کہ پریشانی کا باعث بھی ہو سکتا ہے۔
کچھ کمپنیاں اس معاملے کو اپنے ہاتھ میں لے رہی ہیں تاکہ صارفین کی محدود مقدار کو بچانے میں مدد کی جا سکے جنہیں سپائی ویئر کے ذریعے نشانہ بنایا جا سکتا ہے۔ ایپل - جس کے آئی فون ڈیوائسز پیگاسس مہم میں سمجھوتہ کرنے والوں میں شامل تھے - نے حال ہی میں iOS اور macOS دونوں پر ایک نئی خصوصیت کا اعلان کیا لاک ڈاؤن موڈ کمپنی نے کہا کہ یہ سسٹم کی کسی بھی فعالیت کو خود بخود لاک ڈاؤن کر دیتا ہے جسے انتہائی نفیس، ریاستی سرپرستی والے کرائے کے اسپائی ویئر کے ذریعے بھی ہائی جیک کیا جا سکتا ہے تاکہ صارف کے آلے سے سمجھوتہ کیا جا سکے۔
اسپائی ویئر کے خلاف کریک ڈاؤن کرنے کی ان تمام کوششوں کے باوجود، RatMilad اور Hermit کی حالیہ دریافتوں سے ظاہر ہوتا ہے کہ انہوں نے اب تک خطرے کے اداکاروں کو سائے میں اسپائی ویئر تیار کرنے اور پہنچانے سے نہیں روکا ہے، جہاں یہ چھپا رہتا ہے، اکثر اس کا پتہ نہیں چلتا ہے۔
