একটি ম্যালওয়্যার হোয়াটসঅ্যাপ ডেটা চুরি করছে

অ্যান্ড্রয়েড এর একটি করাপ্টেড অ্যাপ যা GravityRAT নামে পরিচিত। এটি ২০২২ সালের জুন থেকে প্রচারের অংশ হিসাবে মেসেজিং অ্যাপ BingeChat এবং Chatico হিসাবে ছদ্মবেশে দেখা গেছে। যা ডিভাইস থেকে তথ্য চুরি করার চেষ্টা করে।

ESET-এর গবেষক লুকাস স্টেফানকোর মতে, তিনি MalwareHunterTeam থেকে একটি তথ্য পাওয়ার পর একটি নমুনা বিশ্লেষণ করেছেন, যা- GravityRAT -এর সর্বশেষ সংস্করণে দেখা গেছে। উল্লেখযোগ্য নতুন এই সংযোজনগুলির মধ্যে একটি হল হোয়াটসঅ্যাপ ব্যাকআপ ফাইলগুলি চুরি করা।

হোয়াটসঅ্যাপ ব্যাকআপগুলি ব্যবহারকারীদের টেক্সট, মিডিয়া ফাইল এবং ডেটা নতুন ডিভাইসে স্থানান্তর সহায়তা করার জন্য তৈরি করা হয়েছে। যাতে তারা সংবেদনশীল ডেটা যেমন টেক্সট, ভিডিও, ফটো, ডকুমেন্ট এবং আরও অনেক কিছু সঞ্চয় করতে পারে।

GravityRAT অন্তত ২০১৫ সাল থেকে চালু আছে কিন্তু ২০২০ সালে প্রথমবারের মতো অ্যান্ড্রয়েডকে টার্গেট করা শুরু করে। এর অপারেটর ‘স্পেসকোবরা’ একচেটিয়াভাবে স্পাইওয়্যার ব্যবহার করে লক্ষ পূরণ করতে থাকে।

বর্তমান অ্যান্ড্রয়েড প্রচারনা

স্পাইওয়্যারটি ‘BingeChat’ নামে ছড়িয়ে আছে। ধারণা করা হচ্ছে এটি সাধারণ ইন্টারফেস, কিন্তু উন্নত বৈশিষ্ট্য সহ একটি End-to-End এনক্রিপ্ট করা চ্যাট অ্যাপ। ESET বলেছে যে, অ্যাপটি ‘bingechatডটnet’ এবং সম্ভবত অন্যান্য ডোমেন বা বিতরণ চ্যানেলের মাধ্যমে প্রচার করা হয়েছে। তবে ডাউনলোড করার সময় দর্শকদের বৈধ পরিচয়পত্র প্রবেশ করতে অথবা একটি নতুন অ্যাকাউন্ট নিবন্ধন করতে হয়।

নিবন্ধনগুলি বর্তমানে বন্ধ থাকলেও, এই পদ্ধতিটি তাদের শুধুমাত্র লক্ষ্যযুক্ত ব্যক্তিদের কাছে করাপ্টেড অ্যাপগুলি প্রচার করে। এটি গবেষকদের বিশ্লেষণ করতে  কঠিন হয়ে যায়। করাপ্টেড অ্যান্ড্রয়েড APK গুলিকে লক্ষ্যে প্রচার করার একটি কৌশল হল GravityRAT। এর অপারেটররা ২০২১ সালে ‘SoSafe’ নামে একটি চ্যাট অ্যাপ ব্যবহার করে এবং তার আগে ‘Travel Mate Pro’ নামে আরেকটি ব্যবহার করেছে।

লুকাস স্টেফানকো খুঁজে পেয়েছেন যে, অ্যাপটি OMEMO IM-এর একটি ট্রোজানাইজড সংস্করণ, অ্যান্ড্রয়েডের জন্য একটি বৈধ ওপেন-সোর্স ইনস্ট্যান্ট মেসেঞ্জার অ্যাপ।

আরও গবেষণার পরে ESET-এর বিশ্লেষক দেখতে পান যে স্পেসকোবরা ‘চ্যাটিকো’ নামে আরেকটি জাল অ্যাপের ভিত্তি হিসাবে OMEMO IM ব্যবহার করেছে। যা এখন-অফলাইন ‘chaticoডটcoডটuk’ এর মাধ্যমে ২০২২ সালে লক্ষ্যে পৌঁছায়।

GravityRAT এর ক্ষমতা

BingeChat কন্টাক্ট, অবস্থান, ফোন, এসএমএস, স্টোরেজ, কল লগ, ক্যামেরা এবং মাইক্রোফোন অ্যাক্সেস সহ প্রতারিত লোকের ডিভাইসে ইনস্টল করার সময় ঝুঁকিপূর্ণ অনুমতি চায়। এগুলি তাৎক্ষণিক বার্তাপ্রেরণ অ্যাপ্লিকেশনগুলির জন্য আদর্শ অনুমতি। তাই এগুলি সন্দেহ জাগাতে পারে না বা প্রতারিত লোকের কাছে অস্বাভাবিক বলে মনে হয় না।

ব্যবহারকারী BingeChat-এ নিবন্ধন করার আগে, অ্যাপটি কমান্ড এবং কন্ট্রোল(C2)  সার্ভারে কল লগ, যোগাযোগের তালিকা, এসএমএস বার্তা, ডিভাইসের অবস্থান এবং প্রাথমিক ডিভাইস তথ্য পাঠায়।

অতিরিক্তভাবে, jpg, jpeg, log, png, PNG, JPG, JPEG, txt, pdf, xml, doc, xls, xlsx, ppt, pptx, docx, opus, crypt14, crypt12, crypt13, crypt18, এবং এর মিডিয়া এবং নথি ফাইল এর তথ্য পাঠায়।

ফাইল এক্সটেনশনগুলি পূর্বে উল্লিখিত WhatsApp মেসেঞ্জার ব্যাকআপগুলির সাথে মিলে যায়।

GravityRAT-এর আরেকটি উল্লেখযোগ্য নতুন বৈশিষ্ট্য হল C2 থেকে তিনটি কমান্ড পাওয়ার ক্ষমতা। যেমন, ‘সকল ফাইল মুছুন’ (একটি নির্দিষ্ট এক্সটেনশনের), ‘সমস্ত পরিচিতি মুছুন’ এবং ‘সমস্ত কল লগ মুছুন’।

SpaceCobra-এর লক্ষ্যবস্তু এবং ভারতকে কেন্দ্র করে সমস্ত Android ব্যবহারকারীদের Google Play এর বাইরে থেকে APK ডাউনলোড করা এড়িয়ে চলা উচিত এবং যেকোনো অ্যাপ ইনস্টল করার সময় ঝুঁকিপূর্ণ অনুমতির বিষয়ে সতর্ক হওয়া উচিত।

আপডেট 6/17 - একজন Google মুখপাত্র GravityRAT-এর হুমকিতে নিম্নলিখিত মন্তব্য পাঠিয়েছেন: Google Play Protect ব্যবহারকারীদেরকে এমন অ্যাপ থেকে রক্ষা করে, যেগুলি Google Play পরিষেবাগুলির সাথে Android ডিভাইসে এই ম্যালওয়্যার ধারণ করে। এমনকি সেই অ্যাপগুলি অন্যান্য উৎস থেকে আসে।