नया एंड्रॉइड मैलवेयर मोबाइल बैंकिंग डेटा, पैसा चुराता है : कैसे पहचानें

साइबर अपराधियों द्वारा डेटा और यूजर की जानकारी, विशेष रूप से मोबाइल बैंकिंग विवरण चोरी करने के अपने प्रयासों में एक नए एंड्रॉइड मैलवेयर का तेजी से उपयोग किया जा रहा है। भारतीय बैंकों के उपयोगकर्ताओं को लक्षित करने वाले नए मैलवेयर के बारे में यूजर को सचेत करते हुए, एक सरकारी साइबर सुरक्षा एजेंसी, भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (cert-in) ने एक अधिसूचना जारी की जिसमें यह मैलवेयर कार्य करने के तरीके के बारे में विस्तार से बताया गया है। एजेंसी के अनुसार, नए मोबाइल बैंकिंग एंड्रॉइड मालवेयर कोड्रिनिकके नाम से जाना जाता है, जो पहले ही भारत में 27 से अधिक सार्वजनिक और निजी क्षेत्र के बैंकों के कस्टमर्स को टारगेट कर चुका है।

लगभग पांच साल पहले तक ड्रिनिक एंड्रॉइड मालवेयर का इस्तेमाल शॉर्ट मैसेज सर्विस (एसएमएस) डेटा चोरी करने के लिए किया जाता था। जबकि, एसएमएस के प्रसार में गिरावट और इंटरनेट पर जाने वाले अधिक  यूजर डेटा के साथ, साइबर अपराधियों द्वारा ड्रिनिक मैलवेयर को और अधिक आधुनिक युग में एडजस्ट करने के लिए अपडेट किया गया था। अपने नए, अपडेटेड अवतार मेंड्रिनिक एंड्रॉइड मालवेयर एक बैंकिंग ट्रोजन वायरस के रूप में विकसित हो गया है।

ड्रिनिक मैलवेयर कैसे काम करता है?

अधिकांश ट्रोजन और फ़िशिंग-संबंधित मैलवेयर प्रोग्रामों की तरह, ड्रिनिक वायरस भी, यूजर को एक नकली बैंकिंग स्क्रीन (‘फ़िशिंगस्क्रीन) प्रदर्शित करके कार्य करता है, जहाँ यूजर को सेंसिटिव बैंकिंग जानकारी दर्ज करने के लिए मनाया किया जाता हैजिसे बाद में साइबर अपराधियों द्वारा इंफोमशन कलेक्ट कि जाता है। और वास्तविक बैंक सर्वर से डेटा और पैसा जमा करने के लिए उपयोग किया जाता है।

पीड़ित को आमतौर पर एक एसएमएस या एक -मेल प्राप्त होता है जिसमें एक लिंक होता है जो यूजर को फ़िशिंग स्क्रीन पर रीडायरेक्ट करता है। यह -मेल या एसएमएस पूरी तरह से ऑफिसियल लग सकता है और जिस स्क्रीन पर यह रीडायरेक्ट करता है वह भारत सरकार की एक समान वेबसाइट (जैसे आयकर विभाग की वेबसाइट, उदाहरण के लिए) जैसा हो सकता है, इस प्रकार यूजर को आगे बढ़ने के लिए धोखा दे सकता है

साइबर सुरक्षा एजेंसी के अनुसार, एंड्रॉइड मैलवेयर वर्तमान में आयकर (आईटी) डिपार्टमेंट के ऐप के रूप में सामने रहा है। जब भी कोई यूजर इसे इंस्टॉल करना समाप्त करता है, तो ऐप उन्हें एसएमएस रिकॉर्ड, कॉल लॉग, संपर्क और इस तरह की अन्य चीजों तक पहुंचने के लिए आवश्यक अनुमति देने के लिए कहता है।

अब, यदि यूजर फ़िशिंग वेबसाइट पर एंटर नहीं किया है, तो एंड्रॉइड ऐप में फॉर्म के साथ एक ही स्क्रीन प्रदर्शित होती है। इस फॉर्म में पूरा नाम, पैन, आधार नंबर, पता, जन्म तिथि (DoB), मोबाइल नंबर, ईमेल आईडी की प्रविष्टियां शामिल हैं।

यह फॉर्म यूजर को वित्तीय विवरण जैसे खाता संख्या, IFSC कोड, CIF नंबर, डेबिट कार्ड नंबर, समाप्ति तिथि, CVV और पिन दर्ज करने के लिए भी कहता है।

इसके बाद, एंड्रॉइड मैलवेयर, खुद को एक सरकारी फॉर्म के रूप में प्रस्तुत करता है, यूजर को संभावित धनवापसी राशि को अपने खाते में ट्रांसफर करने के विकल्प के साथ आगे बढ़ने के लिए कहता है। जैसे ही यूजर राशि दर्ज करता है औरट्रांसफरपर क्लिक करता है, एप्लिकेशन एक एरर दिखाता है और एक नकली अपडेट स्क्रीन प्रदर्शित करता है।  इस प्रोसेस के दौरान, ट्रोजन वायरस हैकर/साइबर क्रिमिनल को यूजर की इनफार्मेशन भेजता है, जिसमें सभी एसएमएस डेटा, कॉल लॉग और बैंकिंग विवरण शामिल हैं।

New Android malware steals mobile banking data, money

आप ड्रिनिक मैलवेयर की पहचान कैसे कर सकते हैं?

एजेंसी ने मैलवेयर को बेहतर ढंग से ट्रैक करने के लिए कोम्प्रोमाईज़ (IOC) के इंडीकेटर्स भी शेयर किए।

फ़ाइल हैश:

103824893e45fa2177e4a655c0c77d3b

28ef632aeee467678b9ac2d73519b00b

78745bddd887cb4895f06ab2369a8cce

8cc1e2baeb758b7424b6e1c81333a239

E60e4f966ee709de1c68bfb1b96a8cf7

00313e685c293615cf2e1f39fde7eddd

04c3bf5dbb5a27d7364aec776c1d8b3b

C2 सर्वर:

jsig.quicksytes[.]com

c4.mypsx[.]net

fcm.pointto[.]us

rfb.serveexchange[.]com

File Type: .apk