बदकिस्मत कामरान: एंड्रॉइड मैलवेयर गिलगित-बाल्टिस्तान के उर्दू भाषी निवासियों की जासूसी कर रहा है

ईएसईटी शोधकर्ताओं ने पहचान की है कि एक क्षेत्रीय समाचार वेबसाइट पर वाटर-होल हमला प्रतीत होता है जो पाकिस्तान द्वारा प्रशासित विवादित क्षेत्र गिलगित-बाल्टिस्तान के बारे में समाचार वितरित करता है। मोबाइल डिवाइस पर खोले जाने पर, हुंजा न्यूज वेबसाइट का उर्दू संस्करण पाठकों को वेबसाइट से सीधे हुंजा न्यूज एंड्रॉइड ऐप डाउनलोड करने की संभावना प्रदान करता है, लेकिन ऐप में दुर्भावनापूर्ण जासूसी क्षमताएं हैं। हमने इस पूर्व अज्ञात स्पाइवेयर का नाम इसके पैकेज नाम के कारण कामरान रखा है com.kamran.hunzanews. कामरान पाकिस्तान और अन्य उर्दू भाषी क्षेत्रों में दिया जाने वाला एक सामान्य नाम है; फ़ारसी में, जो गिलगित-बाल्टिस्तान में कुछ अल्पसंख्यकों द्वारा बोली जाती है, इसका अर्थ भाग्यशाली या भाग्यशाली होता है।

हुंजा न्यूज़ वेबसाइट के अंग्रेजी और उर्दू संस्करण हैं; अंग्रेजी मोबाइल संस्करण डाउनलोड के लिए कोई ऐप उपलब्ध नहीं कराता है। हालाँकि, मोबाइल पर उर्दू संस्करण एंड्रॉइड स्पाइवेयर डाउनलोड करने की पेशकश करता है। यह उल्लेखनीय है कि अंग्रेजी और उर्दू दोनों डेस्कटॉप संस्करण भी एंड्रॉइड स्पाइवेयर की पेशकश करते हैं; हालाँकि, यह डेस्कटॉप ऑपरेटिंग सिस्टम के साथ संगत नहीं है। हम एंड्रॉइड मैलवेयर से संबंधित वेबसाइट पर पहुंचे। हालाँकि, हमारे ब्लॉगपोस्ट के प्रकाशन से पहले, हमें कोई प्रतिक्रिया नहीं मिली।

रिपोर्ट के मुख्य बिंदु:

• एंड्रॉइड स्पाइवेयर, जिसे हमने कामरान नाम दिया है, को हुंजा न्यूज वेबसाइट पर संभावित वॉटरिंग-होल हमले के माध्यम से वितरित किया गया है।
• मैलवेयर केवल गिलगित-बाल्टिस्तान क्षेत्र में उर्दू भाषी उपयोगकर्ताओं को लक्षित करता है पाकिस्तान द्वारा प्रशासित.
• कामरान स्पाइवेयर हुंजा न्यूज़ वेबसाइट की सामग्री प्रदर्शित करता है और इसमें कस्टम दुर्भावनापूर्ण कोड होता है।
• हमारे शोध से पता चलता है कि कम से कम 20 मोबाइल उपकरणों से छेड़छाड़ की गई थी।

लॉन्च होने पर, दुर्भावनापूर्ण ऐप उपयोगकर्ता को विभिन्न डेटा तक पहुंचने की अनुमति देने का संकेत देता है। यदि स्वीकार किया जाता है, तो यह संपर्कों, कैलेंडर ईवेंट, कॉल लॉग, स्थान की जानकारी, डिवाइस फ़ाइलों, एसएमएस संदेशों, छवियों आदि के बारे में डेटा एकत्र करता है। चूंकि यह दुर्भावनापूर्ण ऐप कभी भी Google Play स्टोर के माध्यम से पेश नहीं किया गया है और इसे अज्ञात स्रोत से डाउनलोड किया गया है। Google द्वारा अज्ञात के रूप में, इस ऐप को इंस्टॉल करने के लिए, उपयोगकर्ता से अज्ञात स्रोतों से ऐप्स इंस्टॉल करने के विकल्प को सक्षम करने का अनुरोध किया जाता है।

दुर्भावनापूर्ण ऐप 7 जनवरी, 2023 और 21 मार्च, 2023 के बीच किसी समय वेबसाइट पर दिखाई दिया; दुर्भावनापूर्ण ऐप का डेवलपर प्रमाणपत्र 10 जनवरी, 2023 को जारी किया गया था। विरोध गिलगित-बाल्टिस्तान में भूमि अधिकार, कराधान संबंधी चिंताएँ, लंबे समय तक बिजली कटौती और सब्सिडी वाले गेहूं प्रावधानों में गिरावट जैसे विभिन्न कारणों से आयोजित किया जा रहा था। चित्र 1 में मानचित्र में दिखाया गया क्षेत्र, पाकिस्तान के प्रशासनिक शासन के अधीन है, जिसमें बड़े कश्मीर क्षेत्र का उत्तरी भाग शामिल है, जो 1947 से भारत और पाकिस्तान के बीच और 1959 से भारत और चीन के बीच विवाद का विषय रहा है।

अवलोकन

हुंजा न्यूज, जिसका नाम संभवतः हुंजा जिले या हुंजा घाटी के नाम पर रखा गया है, एक ऑनलाइन समाचार पत्र है जो संबंधित समाचार वितरित करता है गिलगित-बाल्टिस्तान क्षेत्र।

लगभग 1.5 मिलियन की आबादी वाला यह क्षेत्र विश्व स्तर पर सबसे ऊंचे पहाड़ों में से कुछ की उपस्थिति के लिए प्रसिद्ध है, जिनमें से पांच प्रतिष्ठित "आठ-हजार" (समुद्र तल से 8,000 मीटर से अधिक ऊंचाई वाले पहाड़) की मेजबानी करते हैं, विशेष रूप से K2, और इसलिए अंतरराष्ट्रीय पर्यटकों, ट्रैकर्स और पर्वतारोहियों द्वारा अक्सर इसका दौरा किया जाता है। वसंत 2023 में विरोध प्रदर्शनों के कारण, और सितंबर 2023 में होने वाले अतिरिक्त विरोध प्रदर्शनों के कारण US और कनाडा इस क्षेत्र के लिए यात्रा सलाह जारी की है, और जर्मनी सुझाव दिया गया कि पर्यटकों को वर्तमान स्थिति के बारे में सूचित रहना चाहिए।

गिलगित-बाल्टिस्तान काराकोरम राजमार्ग के कारण भी एक महत्वपूर्ण चौराहा है, जो पाकिस्तान और चीन को जोड़ने वाली एकमात्र मोटर योग्य सड़क है, क्योंकि यह चीन को अरब सागर तक पहुंच कर व्यापार और ऊर्जा पारगमन की सुविधा प्रदान करता है। राजमार्ग के पाकिस्तानी हिस्से का वर्तमान में पुनर्निर्माण और उन्नयन किया जा रहा है; प्रयासों को पाकिस्तान और चीन दोनों द्वारा वित्तपोषित किया जाता है। मौसम या विरोध प्रदर्शन के कारण होने वाली क्षति के कारण राजमार्ग अक्सर अवरुद्ध हो जाता है।

हुंजा न्यूज़ वेबसाइट दो भाषाओं में सामग्री प्रदान करती है: अंग्रेजी और उर्दू. अंग्रेजी के साथ-साथ, उर्दू को पाकिस्तान में राष्ट्रीय भाषा का दर्जा प्राप्त है, और गिलगित-बाल्टिस्तान में, यह अंतरजातीय संचार के लिए आम या पुल भाषा के रूप में कार्य करती है। हुंजा न्यूज़ का आधिकारिक डोमेन है hunzanews.net, पंजीकृत मई 22 पर^nd, 2017, और तब से लगातार ऑनलाइन लेख प्रकाशित कर रहा है, जैसा कि इंटरनेट आर्काइव डेटा से प्रमाणित है hunzanews.net.

2022 से पहले यह ऑनलाइन अखबार दूसरे डोमेन का भी इस्तेमाल करता था, hunzanews.com, जैसा कि साइट पर पृष्ठ पारदर्शिता जानकारी में दर्शाया गया है Facebook पृष्ठ (चित्र 2 देखें) और hunzanews.com के इंटरनेट आर्काइव रिकॉर्ड, इंटरनेट आर्काइव डेटा भी यह दर्शाता है hunzanews.com 2013 से समाचार दे रहा था; इसलिए, लगभग पाँच वर्षों से, यह ऑनलाइन समाचार पत्र दो वेबसाइटों के माध्यम से लेख प्रकाशित कर रहा था: hunzanews.net और hunzanews.com. इसका मतलब यह भी है कि यह ऑनलाइन समाचार पत्र 10 वर्षों से अधिक समय से सक्रिय है और ऑनलाइन पाठक संख्या प्राप्त कर रहा है।

2015 में, hunzanews.com एक वैध एंड्रॉइड एप्लिकेशन प्रदान करना शुरू किया, जैसा कि चित्र 3 में दिखाया गया है, जो Google Play स्टोर पर उपलब्ध था। उपलब्ध डेटा के आधार पर हमारा मानना ​​है कि इस ऐप के दो संस्करण जारी किए गए थे, जिनमें से किसी में भी कोई दुर्भावनापूर्ण कार्यक्षमता नहीं थी। इन ऐप्स का उद्देश्य वेबसाइट की सामग्री को पाठकों के सामने उपयोगकर्ता के अनुकूल तरीके से प्रस्तुत करना था।

2022 की दूसरी छमाही में, नई वेबसाइट hunzanews.net Google Play से Android ऐप डाउनलोड करने के विकल्प को हटाने सहित विज़ुअल अपडेट किए गए। इसके अतिरिक्त, संभवतः नवीनतम एंड्रॉइड ऑपरेटिंग सिस्टम के साथ असंगतता के कारण, आधिकारिक ऐप को Google Play स्टोर से हटा दिया गया था।

कुछ हफ़्तों के लिए, कम से कम से दिसम्बर 2022 जब तक जनवरी 7^th, 2023, वेबसाइट ने आधिकारिक मोबाइल ऐप डाउनलोड करने का कोई विकल्प नहीं दिया, जैसा कि चित्र 4 में दिखाया गया है।

इंटरनेट आर्काइव रिकॉर्ड के आधार पर, यह स्पष्ट है कि कम से कम तब से मार्च 21^st, 2023, वेबसाइट ने उपयोगकर्ताओं के लिए एंड्रॉइड ऐप डाउनलोड करने का विकल्प फिर से शुरू किया, जिसे डाउनलोड ऐप बटन के माध्यम से एक्सेस किया जा सकता है, जैसा कि चित्र 5 में दर्शाया गया है। 7 जनवरी के बीच की अवधि के लिए कोई डेटा नहीं है।^th और 21 मार्च^st, 2023, जो हमें वेबसाइट पर ऐप के पुनः प्रकट होने की सटीक तारीख को इंगित करने में मदद कर सकता है।

वेबसाइट के कई संस्करणों का विश्लेषण करते समय, हमें कुछ दिलचस्प बात पता चली: वेबसाइट को डेस्कटॉप ब्राउज़र में हुंजा न्यूज़ - अंग्रेजी के किसी भी भाषा संस्करण में देखना (hunzanews.net) या उर्दू (urdu.hunzanews.net) - वेबपेज के शीर्ष पर डाउनलोड ऐप बटन को प्रमुखता से प्रदर्शित करता है। डाउनलोड किया गया ऐप एक मूल एंड्रॉइड एप्लिकेशन है जिसे डेस्कटॉप मशीन पर इंस्टॉल नहीं किया जा सकता है और इससे समझौता नहीं किया जा सकता है।

हालाँकि, मोबाइल डिवाइस पर, यह बटन विशेष रूप से उर्दू भाषा संस्करण पर दिखाई देता है (urdu.hunzanews.net), जैसा कि चित्र 6 में दिखाया गया है।

उच्च स्तर के विश्वास के साथ, हम पुष्टि कर सकते हैं कि दुर्भावनापूर्ण ऐप विशेष रूप से उर्दू भाषी उपयोगकर्ताओं पर लक्षित है जो एंड्रॉइड डिवाइस के माध्यम से वेबसाइट तक पहुंचते हैं। दुर्भावनापूर्ण ऐप 2023 की पहली तिमाही से वेबसाइट पर उपलब्ध है।

डाउनलोड ऐप बटन पर क्लिक करने से डाउनलोड शुरू हो जाता है https://hunzanews[.]net/wp-content/uploads/apk/app-release.apk. चूंकि यह दुर्भावनापूर्ण ऐप कभी भी Google Play स्टोर के माध्यम से पेश नहीं किया गया है और इस ऐप को इंस्टॉल करने के लिए किसी तृतीय-पक्ष साइट से डाउनलोड किया गया है, इसलिए उपयोगकर्ता से अज्ञात स्रोतों से ऐप इंस्टॉल करने के लिए गैर-डिफ़ॉल्ट, एंड्रॉइड विकल्प को सक्षम करने का अनुरोध किया जाता है।

हुंजा न्यूज नामक दुर्भावनापूर्ण ऐप पहले से अज्ञात स्पाइवेयर है जिसे हमने कामरान नाम दिया है और इसका विश्लेषण नीचे कामरान अनुभाग में किया गया है।

ईएसईटी रिसर्च ने कामरान के संबंध में हुंजा न्यूज से संपर्क किया। हमारे ब्लॉगपोस्ट के प्रकाशन से पहले हमें वेबसाइट की ओर से किसी भी प्रकार की प्रतिक्रिया या प्रतिक्रिया नहीं मिली।

Victimology

हमारे शोध के निष्कर्षों के आधार पर, हम कम से कम 22 क्षतिग्रस्त स्मार्टफोन की पहचान करने में सक्षम थे, जिनमें से पांच पाकिस्तान में स्थित थे।

कामरान

कामरान पहले से अप्रलेखित एंड्रॉइड स्पाइवेयर है, जो इसकी अनूठी कोड संरचना की विशेषता है, जो अन्य ज्ञात स्पाइवेयर से अलग है। ESET इस स्पाइवेयर का पता लगाता है एंड्रॉइड/स्पाई.कामरान.

हमने कामरान वाले दुर्भावनापूर्ण ऐप के केवल एक संस्करण की पहचान की, जो कि हुंजा न्यूज़ वेबसाइट से डाउनलोड करने के लिए उपलब्ध है। जैसा कि अवलोकन अनुभाग में बताया गया है, हम सटीक तारीख निर्दिष्ट करने में असमर्थ हैं जिस दिन ऐप को हुंजा न्यूज़ वेबसाइट पर रखा गया था। हालाँकि, संबंधित डेवलपर प्रमाणपत्र (SHA-1 फ़िंगरप्रिंट: DCC1A353A178ABF4F441A5587E15644A388C9D9C), एंड्रॉइड ऐप पर हस्ताक्षर करने के लिए उपयोग किया जाता है, 10 जनवरी को जारी किया गया था^th, 2023. यह तारीख दुर्भावनापूर्ण ऐप के निर्माण के शुरुआती समय के लिए एक मंजिल प्रदान करती है।

इसके विपरीत, हुंजा न्यूज़ के वैध एप्लिकेशन जो पहले Google Play पर उपलब्ध थे, उन पर एक अलग डेवलपर प्रमाणपत्र (SHA-1 फ़िंगरप्रिंट) के साथ हस्ताक्षर किए गए थे: BC2B7C4DF3B895BE4C7378D056792664FCEEC591). ये साफ़ और वैध ऐप्स पहचाने गए दुर्भावनापूर्ण ऐप के साथ कोई कोड समानता प्रदर्शित नहीं करते हैं।

लॉन्च करने पर, कामरान उपयोगकर्ता को पीड़ित के डिवाइस पर संग्रहीत विभिन्न डेटा, जैसे संपर्क, कैलेंडर ईवेंट, कॉल लॉग, स्थान जानकारी, डिवाइस फ़ाइलें, एसएमएस संदेश और छवियों तक पहुंचने की अनुमति देने के लिए संकेत देता है। यह एक उपयोगकर्ता इंटरफ़ेस विंडो भी प्रस्तुत करता है, जो हुंजा न्यूज़ के सोशल मीडिया खातों पर जाने और सामग्री लोड करने के लिए अंग्रेजी या उर्दू भाषा का चयन करने के विकल्प प्रदान करता है। hunzanews.net, जैसा कि चित्र एक में दिखाया गया है।

यदि उपर्युक्त अनुमतियाँ दी जाती हैं, तो कामरान स्पाइवेयर स्वचालित रूप से संवेदनशील उपयोगकर्ता डेटा एकत्र करता है, जिसमें शामिल हैं:

• एसएमएस संदेश
• संपर्क सूची
• कॉल लॉग
• कैलेंडर ईवेंट
• उपकरण स्थान
• इंस्टॉल किए गए ऐप्स की सूची
• एसएमएस संदेश प्राप्त हुए
• यंत्र की जानकारी
• छवियों

दिलचस्प बात यह है कि, कामरान डिवाइस पर सुलभ छवि फ़ाइलों की पहचान करता है (जैसा कि चित्र 8 में दर्शाया गया है), इन छवियों के लिए फ़ाइल पथ प्राप्त करता है, और इस डेटा को एक में संग्रहीत करता है छवियाँ_डीबी डेटाबेस, जैसा कि चित्र 9 में दिखाया गया है। यह डेटाबेस मैलवेयर के आंतरिक भंडारण में संग्रहीत है।

छवि फ़ाइलों सहित सभी प्रकार के डेटा को हार्डकोडेड कमांड और कंट्रोल (सी एंड सी) सर्वर पर अपलोड किया जाता है। दिलचस्प बात यह है कि ऑपरेटरों ने अपने सी एंड सी सर्वर के रूप में फायरबेस, एक वेब प्लेटफॉर्म का उपयोग करने का विकल्प चुना: https://[REDACTED].firebaseio[.]com. C&C सर्वर की सूचना Google को दी गई थी, क्योंकि प्लेटफ़ॉर्म इस प्रौद्योगिकी कंपनी द्वारा प्रदान किया गया है।

यह ध्यान रखना महत्वपूर्ण है कि मैलवेयर में रिमोट कंट्रोल क्षमताओं का अभाव है। परिणामस्वरूप, उपयोगकर्ता डेटा HTTPS के माध्यम से फायरबेस सी एंड सी सर्वर पर तभी भेजा जाता है जब उपयोगकर्ता ऐप खोलता है; ऐप बंद होने पर डेटा एक्सफ़िल्ट्रेशन पृष्ठभूमि में नहीं चल सकता। कामरान के पास इस बात पर नज़र रखने की कोई व्यवस्था नहीं है कि कौन सा डेटा बाहर निकाला गया है, इसलिए यह बार-बार एक ही डेटा, साथ ही अपने खोज मानदंडों को पूरा करने वाला कोई भी नया डेटा, अपने C&C को भेजता है।

निष्कर्ष

कामरान पहले अज्ञात एंड्रॉइड स्पाइवेयर है जो गिलगित-बाल्टिस्तान क्षेत्र में उर्दू भाषी लोगों को लक्षित करता है। हमारा शोध बताता है कि कामरान वाला दुर्भावनापूर्ण ऐप कम से कम 2023 से हुन्ज़ा न्यूज़ नामक एक स्थानीय, ऑनलाइन समाचार पत्र पर एक वाटर-होल हमले के माध्यम से वितरित किया गया है।

कामरान अन्य एंड्रॉइड स्पाइवेयर से अलग एक अद्वितीय कोडबेस प्रदर्शित करता है, जो किसी भी ज्ञात उन्नत लगातार खतरे (एपीटी) समूह के लिए इसका श्रेय रोकता है।

इस शोध से यह भी पता चलता है कि विशेष रूप से विश्वसनीय और आधिकारिक स्रोतों से ऐप्स डाउनलोड करने के महत्व को दोहराना महत्वपूर्ण है।

WeLiveSecurity पर प्रकाशित हमारे शोध के बारे में किसी भी पूछताछ के लिए, कृपया हमसे यहां संपर्क करें धमकीइंटेल@eset.com.
ईएसईटी रिसर्च निजी एपीटी खुफिया रिपोर्ट और डेटा फीड प्रदान करता है। इस सेवा के बारे में किसी भी पूछताछ के लिए, पर जाएँ ईएसईटी थ्रेट इंटेलिजेंस इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।

आईओसी

फ़ाइलें

शा 1	पैकेज का नाम	खोज	Description
0F0259F288141EDBE4AB2B8032911C69E03817D2	com.kamran.hunzanews	Android/Spy.Kamran.A	कामरान स्पाइवेयर.

नेटवर्क

IP	डोमेन	होस्टिंग प्रदाता	पहले देखा	विवरण
34.120.160 [।] 131	[REDACTED].firebaseio[.]com	Google LLC	2023-07-26	सी एंड सी सर्वर।
191.101.13 [।] 235	hunzanews[.]नेट	Domain.com, एलएलसी	2017-05-22	वितरण वेबसाइट।

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 13 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे के.

युक्ति	ID	नाम	Description
खोज	T1418	सॉफ्टवेयर डिस्कवरी	कामरान स्पाइवेयर इंस्टॉल किए गए एप्लिकेशन की एक सूची प्राप्त कर सकता है।
	T1420	फ़ाइल और निर्देशिका डिस्कवरी	कामरान स्पाइवेयर बाहरी भंडारण पर छवि फ़ाइलों को सूचीबद्ध कर सकता है।
	T1426	सिस्टम सूचना डिस्कवरी	कामरान स्पाइवेयर डिवाइस के बारे में जानकारी निकाल सकता है, जिसमें डिवाइस मॉडल, ओएस संस्करण और सामान्य सिस्टम जानकारी शामिल है।
पुस्तक संग्रह	T1533	स्थानीय सिस्टम से डेटा	कामरान स्पाइवेयर किसी डिवाइस से छवि फ़ाइलों को बाहर निकाल सकता है।
	T1430	स्थान ट्रैकिंग	कामरान स्पाइवेयर डिवाइस लोकेशन को ट्रैक करता है।
	T1636.001	संरक्षित उपयोगकर्ता डेटा: कैलेंडर प्रविष्टियाँ	कामरान स्पाइवेयर कैलेंडर प्रविष्टियाँ निकाल सकता है।
	T1636.002	संरक्षित उपयोगकर्ता डेटा: कॉल लॉग्स	कामरान स्पाइवेयर कॉल लॉग निकाल सकता है।
	T1636.003	संरक्षित उपयोगकर्ता डेटा: संपर्क सूची	कामरान स्पाइवेयर डिवाइस की संपर्क सूची निकाल सकता है।
	T1636.004	संरक्षित उपयोगकर्ता डेटा: एसएमएस संदेश	कामरान स्पाइवेयर एसएमएस संदेशों को निकाल सकता है और प्राप्त एसएमएस को रोक सकता है।
आदेश और नियंत्रण	T1437.001	अनुप्रयोग परत प्रोटोकॉल: वेब प्रोटोकॉल	कामरान स्पाइवेयर अपने C&C सर्वर के साथ संचार करने के लिए HTTPS का उपयोग करता है।
	T1481.003	वेब सेवा: एक तरफ़ा संचार	कामरान Google के फायरबेस सर्वर को अपने C&C सर्वर के रूप में उपयोग करता है।
exfiltration	T1646	C2 चैनल पर एक्सफिल्ट्रेशन	कामरान स्पाइवेयर HTTPS का उपयोग करके डेटा को बाहर निकालता है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.welivesecurity.com/en/eset-research/unlucky-kamran-android-malware-spying-urdu-speaking-residents-gilgit-baltistan/