দুর্ভাগা কামরান: অ্যান্ড্রয়েড ম্যালওয়্যার গিলগিট-বালতিস্তানের উর্দুভাষী বাসিন্দাদের উপর গুপ্তচরবৃত্তি করছে

ESET গবেষকরা শনাক্ত করেছেন যে একটি আঞ্চলিক সংবাদ ওয়েবসাইটে যেটি পাকিস্তানের দ্বারা শাসিত একটি বিতর্কিত অঞ্চল গিলগিট-বালতিস্তান সম্পর্কে খবর সরবরাহ করে তাতে জলের গর্ত আক্রমণ বলে মনে হচ্ছে৷ মোবাইল ডিভাইসে খোলা হলে, হুনজা নিউজ ওয়েবসাইটের উর্দু সংস্করণটি পাঠকদের ওয়েবসাইট থেকে সরাসরি হুনজা নিউজ অ্যান্ড্রয়েড অ্যাপ ডাউনলোড করার সুযোগ দেয়, কিন্তু অ্যাপটিতে দূষিত গুপ্তচরবৃত্তির ক্ষমতা রয়েছে। প্যাকেজ নামের কারণে আমরা এই পূর্বে অজানা স্পাইওয়্যারটির নাম রেখেছিলাম কামরান com.kamran.hunzanews. কামরান পাকিস্তান এবং অন্যান্য উর্দুভাষী অঞ্চলে একটি সাধারণ প্রদত্ত নাম; ফার্সি ভাষায়, যা গিলগিট-বালতিস্তানের কিছু সংখ্যালঘুদের দ্বারা বলা হয়, এর অর্থ ভাগ্যবান বা ভাগ্যবান।

হুনজা নিউজ ওয়েবসাইটের ইংরেজি এবং উর্দু সংস্করণ রয়েছে; ইংরেজি মোবাইল সংস্করণ ডাউনলোডের জন্য কোনো অ্যাপ প্রদান করে না। যাইহোক, মোবাইলে উর্দু সংস্করণ অ্যান্ড্রয়েড স্পাইওয়্যার ডাউনলোড করার প্রস্তাব দেয়। উল্লেখ্য যে ইংরেজি এবং উর্দু উভয় ডেস্কটপ সংস্করণই অ্যান্ড্রয়েড স্পাইওয়্যার অফার করে; যদিও, এটি ডেস্কটপ অপারেটিং সিস্টেমের সাথে সামঞ্জস্যপূর্ণ নয়। আমরা অ্যান্ড্রয়েড ম্যালওয়্যার সম্পর্কিত ওয়েবসাইটে পৌঁছেছি। যাইহোক, আমাদের ব্লগপোস্ট প্রকাশের আগে, আমরা কোন প্রতিক্রিয়া পাইনি।

প্রতিবেদনের মূল বিষয়:

• অ্যান্ড্রয়েড স্পাইওয়্যার, যাকে আমরা কামরান নাম দিয়েছি, হুনজা নিউজ ওয়েবসাইটে সম্ভাব্য ওয়াটারিং-হোল আক্রমণের মাধ্যমে বিতরণ করা হয়েছে।
• ম্যালওয়্যারটি শুধুমাত্র গিলগিট-বাল্টিস্তান, একটি অঞ্চলের উর্দুভাষী ব্যবহারকারীদের লক্ষ্য করে পাকিস্তান দ্বারা পরিচালিত.
• কামরান স্পাইওয়্যার হুনজা নিউজ ওয়েবসাইটের বিষয়বস্তু প্রদর্শন করে এবং এতে কাস্টম দূষিত কোড রয়েছে।
• আমাদের গবেষণা দেখায় যে কমপক্ষে 20টি মোবাইল ডিভাইস আপোস করা হয়েছিল।

লঞ্চ করার পরে, ক্ষতিকারক অ্যাপটি ব্যবহারকারীকে বিভিন্ন ডেটা অ্যাক্সেস করার অনুমতি দেওয়ার জন্য অনুরোধ করে। গৃহীত হলে, এটি পরিচিতি, ক্যালেন্ডার ইভেন্ট, কল লগ, অবস্থানের তথ্য, ডিভাইস ফাইল, এসএমএস বার্তা, ছবি ইত্যাদি সম্পর্কে ডেটা সংগ্রহ করে৷ কারণ এই দূষিত অ্যাপটি কখনও Google Play স্টোরের মাধ্যমে অফার করা হয়নি এবং উল্লেখ করা একটি অজ্ঞাত উৎস থেকে ডাউনলোড করা হয়েছে৷ Google দ্বারা অজানা হিসাবে, এই অ্যাপটি ইনস্টল করার জন্য, ব্যবহারকারীকে অজানা উত্স থেকে অ্যাপগুলি ইনস্টল করার বিকল্পটি সক্ষম করার জন্য অনুরোধ করা হচ্ছে৷

দূষিত অ্যাপটি 7 জানুয়ারী, 2023 এবং 21 মার্চ, 2023-এর মধ্যে কোনো এক সময়ে ওয়েবসাইটে উপস্থিত হয়েছিল; ক্ষতিকারক অ্যাপের ডেভেলপার সার্টিফিকেট 10 জানুয়ারী, 2023-এ জারি করা হয়েছিল। সেই সময়ে, বিক্ষোভ গিলগিট-বাল্টিস্তানে জমির অধিকার, ট্যাক্সের উদ্বেগ, দীর্ঘস্থায়ী বিদ্যুৎ বিভ্রাট এবং ভর্তুকিযুক্ত গমের বিধান হ্রাস সহ বিভিন্ন কারণে অনুষ্ঠিত হয়েছিল। চিত্র 1-এ মানচিত্রে দেখানো অঞ্চলটি পাকিস্তানের প্রশাসনিক শাসনের অধীনে, বৃহত্তর কাশ্মীর অঞ্চলের উত্তর অংশ নিয়ে গঠিত, যেটি 1947 সাল থেকে ভারত ও পাকিস্তানের মধ্যে এবং 1959 সাল থেকে ভারত ও চীনের মধ্যে বিরোধের বিষয়।

সংক্ষিপ্ত বিবরণ

হুনজা নিউজ, সম্ভবত হুনজা জেলা বা হুনজা উপত্যকার নামে নামকরণ করা হয়েছে, এটি একটি অনলাইন সংবাদপত্র যা গিলগিট-বালতিস্তান অঞ্চল।

প্রায় 1.5 মিলিয়ন জনসংখ্যা সহ এই অঞ্চলটি বিশ্বব্যাপী কিছু উচ্চতম পর্বতমালার উপস্থিতির জন্য বিখ্যাত, যেখানে পাঁচটি সম্মানিত "আট-হাজার" (পাহাড় যা সমুদ্রপৃষ্ঠ থেকে 8,000 মিটারেরও বেশি উচ্চতায় শীর্ষে রয়েছে), সবচেয়ে উল্লেখযোগ্যভাবে K2, এবং তাই এটি প্রায়শই আন্তর্জাতিক পর্যটক, ট্রেকার এবং পর্বতারোহীরা পরিদর্শন করে। 2023 সালের বসন্তে বিক্ষোভের কারণে এবং 2023 সালের সেপ্টেম্বরে অতিরিক্ত বিক্ষোভের কারণে, US এবং কানাডা এই অঞ্চলের জন্য ভ্রমণ পরামর্শ জারি করেছে, এবং জার্মানি পর্যটকদের বর্তমান পরিস্থিতি সম্পর্কে অবগত থাকার পরামর্শ দিয়েছেন।

কারাকোরাম হাইওয়ের কারণে গিলগিট-বালতিস্তান একটি গুরুত্বপূর্ণ ক্রসরোড, কারণ এটি পাকিস্তান ও চীনকে সংযুক্ত করে একমাত্র মোটরযানযোগ্য রাস্তা, কারণ এটি চীনকে আরব সাগরে প্রবেশের মাধ্যমে বাণিজ্য ও শক্তি পরিবহনের সুবিধা দেয়। হাইওয়ের পাকিস্তানি অংশ বর্তমানে পুনর্গঠন ও আপগ্রেড করা হচ্ছে; প্রচেষ্টাগুলি পাকিস্তান এবং চীন উভয়ই অর্থায়ন করে। হাইওয়ে প্রায়ই আবহাওয়া বা বিক্ষোভের কারণে ক্ষতির কারণে অবরুদ্ধ হয়।

হুনজা নিউজ ওয়েবসাইট দুটি ভাষায় সামগ্রী সরবরাহ করে: ইংরেজি এবং উর্দু. ইংরেজির পাশাপাশি, উর্দু পাকিস্তানে জাতীয় ভাষার মর্যাদা ধারণ করে, এবং গিলগিট-বালতিস্তানে, এটি আন্তঃজাতিগত যোগাযোগের জন্য সাধারণ বা সেতু ভাষা হিসাবে কাজ করে। হুনজা নিউজের অফিসিয়াল ডোমেইন হল hunzanews.net, নিবন্ধভুক্ত মে 22 এ^nd, 2017, এবং তারপর থেকে ধারাবাহিকভাবে অনলাইন নিবন্ধ প্রকাশ করে আসছে, যেমন ইন্টারনেট আর্কাইভ ডেটা দ্বারা প্রমাণিত hunzanews.net.

2022 সালের আগে, এই অনলাইন সংবাদপত্রটি অন্য ডোমেনও ব্যবহার করত, hunzanews.com, সাইটের পৃষ্ঠার স্বচ্ছতার তথ্যে নির্দেশিত ফেসবুক পাতা (চিত্র 2 দেখুন) এবং hunzanews.com এর ইন্টারনেট আর্কাইভ রেকর্ড, ইন্টারনেট আর্কাইভ ডেটাও দেখায় যে hunzanews.com 2013 সাল থেকে সংবাদ পরিবেশন করছিল; তাই, প্রায় পাঁচ বছর ধরে, এই অনলাইন সংবাদপত্র দুটি ওয়েবসাইটের মাধ্যমে নিবন্ধ প্রকাশ করছিল: hunzanews.net এবং hunzanews.com. এর মানে এই যে এই অনলাইন সংবাদপত্রটি 10 ​​বছরেরও বেশি সময় ধরে সক্রিয় এবং অনলাইন পাঠকপ্রিয়তা অর্জন করছে।

2015 সালে hunzanews.com একটি বৈধ অ্যান্ড্রয়েড অ্যাপ্লিকেশন প্রদান করা শুরু করেছে, যেমন চিত্র 3-এ দেখানো হয়েছে, যা Google Play স্টোরে উপলব্ধ ছিল। উপলভ্য ডেটার উপর ভিত্তি করে আমরা বিশ্বাস করি যে এই অ্যাপটির দুটি সংস্করণ প্রকাশ করা হয়েছে, যার কোনোটিতেই কোনো ক্ষতিকারক কার্যকারিতা নেই। এই অ্যাপসটির উদ্দেশ্য ছিল ওয়েবসাইটের বিষয়বস্তু পাঠকদের কাছে ব্যবহারকারী-বান্ধব উপায়ে উপস্থাপন করা।

2022 সালের দ্বিতীয়ার্ধে, নতুন ওয়েবসাইট hunzanews.net গুগল প্লে থেকে অ্যান্ড্রয়েড অ্যাপ ডাউনলোড করার বিকল্প অপসারণ সহ ভিজ্যুয়াল আপডেট করা হয়েছে। উপরন্তু, অফিসিয়াল অ্যাপটি গুগল প্লে স্টোর থেকে নামিয়ে নেওয়া হয়েছে, সম্ভবত সর্বশেষ অ্যান্ড্রয়েড অপারেটিং সিস্টেমের সাথে এর অসঙ্গতির কারণে।

কয়েক সপ্তাহের জন্য, অন্তত থেকে ডিসেম্বর 2022 পর্যন্ত জানুয়ারী 7^th, 2023, ওয়েবসাইটটি অফিসিয়াল মোবাইল অ্যাপ ডাউনলোড করার কোনো বিকল্প প্রদান করেনি, যেমন চিত্র 4-এ দেখানো হয়েছে।

ইন্টারনেট আর্কাইভ রেকর্ডের উপর ভিত্তি করে, এটা স্পষ্ট যে অন্তত তারপর থেকে মার্চ 21^st, 2023, ওয়েবসাইটটি ব্যবহারকারীদের জন্য একটি অ্যান্ড্রয়েড অ্যাপ ডাউনলোড করার বিকল্পটি পুনঃপ্রবর্তন করেছে, ডাউনলোড অ্যাপ বোতামের মাধ্যমে অ্যাক্সেসযোগ্য, চিত্র 5-এ দেখানো হয়েছে। 7 জানুয়ারির মধ্যে সময়ের জন্য কোনও ডেটা নেই^th এবং মার্চ 21^st, 2023, যা আমাদের ওয়েবসাইটে অ্যাপটির পুনঃআবির্ভাবের সঠিক তারিখ চিহ্নিত করতে সাহায্য করতে পারে।

ওয়েবসাইটটির বিভিন্ন সংস্করণ বিশ্লেষণ করার সময়, আমরা আকর্ষণীয় কিছু দেখতে পেলাম: হুনজা নিউজ – ইংরেজি (hunzanews.net) বা উর্দু (urdu.hunzanews.net) – ওয়েবপেজের শীর্ষে অ্যাপ ডাউনলোড করুন বোতামটি বিশিষ্টভাবে প্রদর্শন করে। ডাউনলোড করা অ্যাপটি একটি নেটিভ অ্যান্ড্রয়েড অ্যাপ্লিকেশন যা একটি ডেস্কটপ মেশিনে ইনস্টল করা যায় না এবং এটিকে আপস করে।

যাইহোক, একটি মোবাইল ডিভাইসে, এই বোতামটি উর্দু ভাষার ভেরিয়েন্টে একচেটিয়াভাবে দৃশ্যমান (urdu.hunzanews.net), যেমন চিত্র 6 এ দেখানো হয়েছে।

উচ্চ মাত্রার আত্মবিশ্বাসের সাথে, আমরা নিশ্চিত করতে পারি যে দূষিত অ্যাপটি বিশেষভাবে উর্দু-ভাষী ব্যবহারকারীদের লক্ষ্য করে যারা একটি Android ডিভাইসের মাধ্যমে ওয়েবসাইট অ্যাক্সেস করে। 2023 সালের প্রথম ত্রৈমাসিক থেকে ক্ষতিকারক অ্যাপটি ওয়েবসাইটে পাওয়া যাচ্ছে।

ডাউনলোড অ্যাপ বোতামে ক্লিক করা থেকে একটি ডাউনলোড ট্রিগার হয় https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. যেহেতু এই দূষিত অ্যাপটি কখনই Google Play স্টোরের মাধ্যমে অফার করা হয়নি এবং এই অ্যাপটি ইনস্টল করার জন্য তৃতীয় পক্ষের সাইট থেকে ডাউনলোড করা হয়েছে, তাই ব্যবহারকারীকে অজানা উত্স থেকে অ্যাপগুলি ইনস্টল করার জন্য নন-ডিফল্ট, অ্যান্ড্রয়েড বিকল্পটি সক্ষম করার জন্য অনুরোধ করা হচ্ছে।

ক্ষতিকারক অ্যাপ, হুনজা নিউজ, পূর্বে অজানা স্পাইওয়্যার যাকে আমরা কামরান নাম দিয়েছিলাম এবং নিচের কামরান বিভাগে বিশ্লেষণ করা হয়েছে।

ইএসইটি গবেষণা কামরানের বিষয়ে হুনজা নিউজের কাছে পৌঁছেছে। আমাদের ব্লগপোস্ট প্রকাশের আগে আমরা ওয়েবসাইটের পক্ষ থেকে কোনো ধরনের প্রতিক্রিয়া বা প্রতিক্রিয়া পাইনি।

Victimology

আমাদের গবেষণার ফলাফলের ভিত্তিতে, আমরা অন্তত 22টি আপোসকৃত স্মার্টফোন শনাক্ত করতে সক্ষম হয়েছি, যার মধ্যে পাঁচটি পাকিস্তানে অবস্থিত।

কামরান

কামরান পূর্বে নথিপত্রবিহীন অ্যান্ড্রয়েড স্পাইওয়্যার যা এর অনন্য কোড কম্পোজিশন দ্বারা চিহ্নিত করা হয়েছে, যা অন্যান্য পরিচিত স্পাইওয়্যার থেকে আলাদা। ESET এই হিসাবে এই স্পাইওয়্যার সনাক্ত করে অ্যান্ড্রয়েড/স্পাই.কামরান.

আমরা কামরান সম্বলিত একটি ক্ষতিকারক অ্যাপের শুধুমাত্র একটি সংস্করণ শনাক্ত করেছি, যেটি হুনজা নিউজ ওয়েবসাইট থেকে ডাউনলোড করার জন্য উপলব্ধ। ওভারভিউ বিভাগে ব্যাখ্যা করা হয়েছে, হুনজা নিউজ ওয়েবসাইটে অ্যাপটি কোন তারিখে স্থাপন করা হয়েছিল তা আমরা নির্দিষ্ট করতে অক্ষম। যাইহোক, সংশ্লিষ্ট বিকাশকারী শংসাপত্র (SHA-1 ফিঙ্গারপ্রিন্ট: DCC1A353A178ABF4F441A5587E15644A388C9D9C), অ্যান্ড্রয়েড অ্যাপে স্বাক্ষর করতে ব্যবহৃত, 10 জানুয়ারি জারি করা হয়েছিল^th, 2023. এই তারিখটি সবচেয়ে প্রথমবারের মতো দূষিত অ্যাপটি তৈরি করা হয়েছিল।

বিপরীতে, হুনজা নিউজের বৈধ অ্যাপ্লিকেশনগুলি যেগুলি আগে Google Play-তে উপলব্ধ ছিল সেগুলি একটি ভিন্ন বিকাশকারী শংসাপত্রের (SHA-1 আঙ্গুলের ছাপ: BC2B7C4DF3B895BE4C7378D056792664FCEEC591) এই পরিষ্কার এবং বৈধ অ্যাপগুলি চিহ্নিত ক্ষতিকারক অ্যাপের সাথে কোন কোডের মিল প্রদর্শন করে না।

লঞ্চ করার পরে, কামরান ব্যবহারকারীকে ভিকটিমদের ডিভাইসে সংরক্ষিত বিভিন্ন ডেটা, যেমন পরিচিতি, ক্যালেন্ডার ইভেন্ট, কল লগ, অবস্থানের তথ্য, ডিভাইস ফাইল, এসএমএস বার্তা এবং ছবি অ্যাক্সেস করার অনুমতি দেওয়ার জন্য অনুরোধ করে। এটি একটি ইউজার ইন্টারফেস উইন্ডোও উপস্থাপন করে, যা হুনজা নিউজ সোশ্যাল মিডিয়া অ্যাকাউন্টগুলি দেখার বিকল্পগুলি অফার করে এবং এর বিষয়বস্তু লোড করার জন্য ইংরেজি বা উর্দু ভাষা নির্বাচন করে hunzanews.net, যেমন চিত্র 7 এ দেখানো হয়েছে।

যদি উপরে উল্লিখিত অনুমতি দেওয়া হয়, কামরান স্পাইওয়্যার স্বয়ংক্রিয়ভাবে সংবেদনশীল ব্যবহারকারীর ডেটা সংগ্রহ করে, যার মধ্যে রয়েছে:

• এসএমএস বার্তা
• যোগাযোগ তালিকা
• কল লগ
• ক্যালেন্ডার ঘটনা
• ডিভাইসের অবস্থান
• ইনস্টল করা অ্যাপের তালিকা
• এসএমএস বার্তা পেয়েছে
• ডিভাইস সম্পর্কিত তথ্য
• চিত্র

মজার বিষয় হল, কামরান ডিভাইসে অ্যাক্সেসযোগ্য ইমেজ ফাইলগুলিকে শনাক্ত করে (যেমন চিত্র 8-এ দেখানো হয়েছে), এই চিত্রগুলির জন্য ফাইলের পাথগুলি পান এবং এই ডেটা সংরক্ষণ করে images_db ডাটাবেস, যেমন চিত্র 9-এ দেখানো হয়েছে। এই ডাটাবেসটি ম্যালওয়্যারের অভ্যন্তরীণ স্টোরেজে সংরক্ষিত থাকে।

ইমেজ ফাইল সহ সব ধরনের ডেটা একটি হার্ডকোডেড কমান্ড অ্যান্ড কন্ট্রোল (C&C) সার্ভারে আপলোড করা হয়। মজার বিষয় হল, অপারেটররা তাদের C&C সার্ভার হিসাবে Firebase, একটি ওয়েব প্ল্যাটফর্ম ব্যবহার করতে বেছে নিয়েছে: https://[REDACTED].firebaseio[.]com. C&C সার্ভারটি Google-এ রিপোর্ট করা হয়েছে, কারণ প্ল্যাটফর্মটি এই প্রযুক্তি কোম্পানি দ্বারা সরবরাহ করা হয়েছে।

এটি লক্ষ্য করা গুরুত্বপূর্ণ যে ম্যালওয়্যারের রিমোট কন্ট্রোল ক্ষমতার অভাব রয়েছে। ফলস্বরূপ, ব্যবহারকারীর ডেটা HTTPS এর মাধ্যমে Firebase C&C সার্ভারে পাঠানো হয় যখন ব্যবহারকারী অ্যাপটি খোলে; অ্যাপটি বন্ধ হয়ে গেলে ডেটা এক্সফিল্ট্রেশন ব্যাকগ্রাউন্ডে চলতে পারে না। কামরানের কাছে কোন তথ্য ট্র্যাক করার কোন ব্যবস্থা নেই, তাই এটি বারবার একই ডেটা পাঠায়, এবং যে কোনও নতুন ডেটা তার অনুসন্ধানের মানদণ্ড পূরণ করে, তার C&C-তে।

উপসংহার

কামরান আগে অজানা অ্যান্ড্রয়েড স্পাইওয়্যার গিলগিট-বালতিস্তান অঞ্চলে উর্দুভাষী লোকেদের লক্ষ্য করে। আমাদের গবেষণা ইঙ্গিত করে যে কামরান সম্বলিত দূষিত অ্যাপটি কমপক্ষে 2023 সাল থেকে বিতরণ করা হয়েছে যা সম্ভবত হুনজা নিউজ নামে একটি স্থানীয়, অনলাইন সংবাদপত্রে জলের গর্ত আক্রমণ।

কামরান অন্যান্য অ্যান্ড্রয়েড স্পাইওয়্যার থেকে আলাদা একটি অনন্য কোডবেস প্রদর্শন করে, যে কোনো পরিচিত অ্যাডভান্সড পারসিস্টেন্ট থ্রেট (এপিটি) গ্রুপে এর অ্যাট্রিবিউশন প্রতিরোধ করে।

এই গবেষণাটি আরও দেখায় যে বিশ্বস্ত এবং অফিসিয়াল উত্স থেকে একচেটিয়াভাবে অ্যাপগুলি ডাউনলোড করার তাত্পর্য পুনর্ব্যক্ত করা গুরুত্বপূর্ণ৷

WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.

আইওসি

নথি পত্র

রয়েছে SHA-1	প্যাকেজের নাম	সনাক্তকরণ	বিবরণ
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	কামরান স্পাইওয়্যার।

নেটওয়ার্ক

IP	ডোমেইন	হোস্টিং প্রদানকারী	প্রথম দেখা	বিস্তারিত
34.120.160[।]131	ফায়ারবেসিও[.]com	গুগল এলএলসি	2023-07-26	C&C সার্ভার।
191.101.13[।]235	হুনজানিউজ[.]নেট	Domain.com, LLC	2017-05-22	বিতরণ ওয়েবসাইট।

মিটার ATT এবং CK কৌশল

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 13 সংস্করণ MITER ATT&CK ফ্রেমওয়ার্কের.

যুদ্ধকৌশল	ID	নাম	বিবরণ
আবিষ্কার	T1418	সফটওয়্যার আবিষ্কার	কামরান স্পাইওয়্যার ইনস্টল করা অ্যাপ্লিকেশনগুলির একটি তালিকা পেতে পারে।
	T1420	ফাইল এবং ডিরেক্টরি আবিষ্কার	কামরান স্পাইওয়্যার বহিরাগত স্টোরেজে ইমেজ ফাইল তালিকাভুক্ত করতে পারে।
	T1426	সিস্টেম তথ্য আবিষ্কার	কামরান স্পাইওয়্যার ডিভাইসের মডেল, ওএস সংস্করণ এবং সাধারণ সিস্টেম তথ্য সহ ডিভাইস সম্পর্কে তথ্য বের করতে পারে।
সংগ্রহ	T1533	স্থানীয় সিস্টেম থেকে ডেটা	কামরান স্পাইওয়্যার একটি ডিভাইস থেকে ইমেজ ফাইল বের করে দিতে পারে।
	T1430	অবস্থান ট্র্যাকিং	কামরান স্পাইওয়্যার ডিভাইসের অবস্থান ট্র্যাক করে।
	T1636.001	সুরক্ষিত ব্যবহারকারীর ডেটা: ক্যালেন্ডার এন্ট্রি	কামরান স্পাইওয়্যার ক্যালেন্ডার এন্ট্রি বের করতে পারে।
	T1636.002	সুরক্ষিত ব্যবহারকারীর ডেটা: কল লগ	কামরান স্পাইওয়্যার কল লগ বের করতে পারে।
	T1636.003	সুরক্ষিত ব্যবহারকারীর ডেটা: যোগাযোগের তালিকা	কামরান স্পাইওয়্যার ডিভাইসের পরিচিতি তালিকা বের করতে পারে।
	T1636.004	সুরক্ষিত ব্যবহারকারীর ডেটা: এসএমএস বার্তা	কামরান স্পাইওয়্যার এসএমএস বার্তা বের করতে পারে এবং প্রাপ্ত এসএমএস আটকাতে পারে।
কমান্ড এবং কন্ট্রোল	T1437.001	অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ওয়েব প্রোটোকল	কামরান স্পাইওয়্যার তার C&C সার্ভারের সাথে যোগাযোগ করতে HTTPS ব্যবহার করে।
	T1481.003	ওয়েব সার্ভিস: ওয়ান-ওয়ে কমিউনিকেশন	কামরান তার C&C সার্ভার হিসাবে Google এর Firebase সার্ভার ব্যবহার করে।
বহিষ্কার	T1646	C2 চ্যানেল ওভার এক্সফিল্ট্রেশন	কামরান স্পাইওয়্যার HTTPS ব্যবহার করে ডেটা বের করে দেয়।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/