पढ़ने का समय: 5 मिनट
नवंबर 2016 के अंत में, कोमोडो धमकी लैब्स रूस में ग्राहकों को प्रभावित करने वाले Android मैलवेयर "Tordow v2.0" के नमूनों की खोज की। टोरडो एंड्रॉइड ऑपरेटिंग सिस्टम के लिए पहला मोबाइल बैंकिंग ट्रोजन है जो संक्रमित उपकरणों पर रूट विशेषाधिकार प्राप्त करना चाहता है। आमतौर पर, बैंकिंग मैलवेयर को अपनी दुर्भावनापूर्ण गतिविधियों को करने के लिए रूट एक्सेस की आवश्यकता नहीं होती है, लेकिन रूट एक्सेस के साथ हैकर्स कार्यक्षमता की एक विस्तृत श्रृंखला प्राप्त करते हैं।
Tordow 2.0 टेलीफोन कॉल कर सकता है, एसएमएस संदेशों को नियंत्रित कर सकता है, प्रोग्राम डाउनलोड और इंस्टॉल कर सकता है, लॉगिन क्रेडेंशियल चुरा सकता है, संपर्क एक्सेस कर सकता है, फाइलों को एन्क्रिप्ट कर सकता है, वेबपेजों पर जा सकता है, बैंकिंग डेटा में हेरफेर कर सकता है, हटा सकता है सुरक्षा सॉफ्टवेयर, डिवाइस को रीबूट करें, फ़ाइलों का नाम बदलें, और रैंसमवेयर के रूप में कार्य करें। यह संग्रहीत संवेदनशील जानकारी के लिए Android और Google Chrome ब्राउज़र में खोज करता है। तकनीकी विवरण बताते हैं कि Tordow 2.0 डिवाइस हार्डवेयर और सॉफ्टवेयर, ऑपरेटिंग सिस्टम, निर्माता, इंटरनेट सेवा प्रदाता और उपयोगकर्ता स्थान के बारे में भी डेटा एकत्र करता है।
Tordow 2.0 में CryptoUtil क्लास फ़ंक्शंस हैं, जिसके साथ यह निम्नलिखित हार्डकोडेड कुंजी के साथ AES एल्गोरिथम का उपयोग करके फ़ाइलों को एन्क्रिप्ट और डिक्रिप्ट कर सकता है: 'MIIxxxxCgAwIB'। इसकी Android एप्लिकेशन पैकेज (APK) फ़ाइलें, "cryptocomponent.2" जैसे नामों के साथ, AES एल्गोरिथम के साथ एन्क्रिप्ट की गई हैं।
Tordow 2.0 में नौ अलग-अलग तरीके हैं जिनसे यह सत्यापित करता है कि इसने रूट विशेषाधिकार प्राप्त कर लिए हैं। इसकी स्थिति हमलावर के कमांड-एंड-कंट्रोल (C2) सर्वरों में से एक को प्रेषित की जाती है, जैसे कि "https://2ip.ru" पर पाया गया। रूट एक्सेस के साथ, हमलावर कुछ भी कर सकता है, और संक्रमित सिस्टम से इस तरह के घुसपैठ वाले मैलवेयर को हटाना मुश्किल हो जाता है।
टॉर्डो आम सोशल मीडिया और गेमिंग एप्लिकेशन के माध्यम से फैलता है जिन्हें दुर्भावनापूर्ण कोडर्स द्वारा डाउनलोड, रिवर्स-इंजीनियर और तोड़फोड़ किया गया है। जिन ऐप्स का शोषण किया गया है उनमें VKontakte (रूसी फेसबुक), पोकेमॉन गो, टेलीग्राम और सबवे सर्फर्स शामिल हैं। संक्रमित कार्यक्रम आमतौर पर तृतीय-पक्ष साइटों से वितरित किए जाते हैं जो आधिकारिक वेबसाइटों जैसे कि Google Play और Apple स्टोर से संबद्ध नहीं होते हैं, हालांकि दोनों को पहले संक्रमित ऐप्स को होस्ट करने और वितरित करने में परेशानी हुई है। अपहृत ऐप्स आमतौर पर मूल लोगों की तरह ही व्यवहार करते हैं, लेकिन इसमें C2 संचार, रूट एक्सेस के लिए एक शोषण पैक और डाउनलोड करने योग्य ट्रोजन मॉड्यूल तक पहुंच सहित एम्बेडेड और एन्क्रिप्टेड दुर्भावनापूर्ण कार्यक्षमता भी शामिल है।
हालांकि अधिकांश पीड़ित रूस में रहे हैं, सफल हैकर तकनीकें आमतौर पर दुनिया के अन्य हिस्सों में चली जाती हैं। Tordow 2.0 और इसी तरह के खतरों से सुरक्षा के लिए, उपयोगकर्ताओं को अपने सुरक्षा सॉफ़्टवेयर को अप-टू-डेट रखना चाहिए, अवांछित लिंक और अटैचमेंट पर संदेह करना चाहिए, और केवल आधिकारिक वेबसाइटों से एप्लिकेशन डाउनलोड करना चाहिए।
| मैलवेयर का नाम | Android.जासूस .Tordow |
| विश्लेषक का नाम | जी. रवि कृष्ण वर्मा |
| उप प्रकार | Android.जासूस |
| लक्ष्य देश | रूसी |
| पहले पता चला | नव 2016 |
| आखरी अपडेट | दिसम्बर, 2016 |
| आपराधिक गतिविधियां | नकली एपीके, ओएस और मोबाइल के बारे में सभी जानकारी, जासूसी क्षेत्र विवरण, रूट डिवाइस, डिवाइस पंजीकरण, क्रिप्टोकंपोनेंट और एक्ज़िक्यूट टास्क (DOWNLOAD_AND_RUN, UPLOAD_FILE, LOCKEDDevice, LockURL, ALARM REQUEST, UNLOCK डिवाइस, ENCRYPT_FILE, DECYT_FILE डिवाइस, ENCRYPT_FILE के फीचर वर्जन को डाउनलोड, रन और अपग्रेड करें। DELETE_FILES, GET_FILE_LIST, LOAD_HTTP_ यूआरएल, ADD_ALTERNATE_SERVER, RELOAD_LIB, SET_PREFERENCE, ABORT_ALL_SMS, MASK_ABORT_SMS, SEND_SMS, SEND_SMS2, FAKE_INBOX_SMS, FAKE_SENT_SMS, ABORT_ALL_CALLS, ABORT_ALL_CALLS,, ABORT_INCOMING ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, CHECK_BALANSE, कॉल, MASS_SEND_SMS)। |
| टोरडो आईपी | http://192.168.0.2 http://5.45.70.34 |
| टोरडो संस्करण | संस्करण 1.0 और संस्करण 2.0 |
Tordow v2.0 . का तकनीकी अवलोकन
Tordow v2.0 का वर्ग पदानुक्रम (दिसंबर-2016)
Tordow v1.0 का वर्ग पदानुक्रम (सितंबर-2016)
Tordow v2.0 . का कार्यात्मक मानचित्र दृश्य
Tordow v2.0 कार्य:
1) सभी जानकारी: सभी सिस्टम विवरण और मोबाइल विवरण जैसे ओएस संस्करण, ओएस एपीआई स्तर, डिवाइस, मॉडल (और उत्पाद), संस्करण बनाएं, ब्रांड बनाएं, सीपीयू एबीआई बनाएं, सीपीयू एबीआई 2 बनाएं, हार्डवेयर बनाएं, आईडी बनाएं, बनाएं निर्माता, उपयोगकर्ता बनाएँ और होस्ट बनाएँ।
2) क्षेत्र प्राप्त करें: सभी भौगोलिक क्षेत्र के विवरण (काउंटी और साइट) के बारे में जानकारी,
आईएसपी (उदाहरण: एयरटेल ब्रॉड बैंड), ब्राउज़र विवरण (ब्राउज़र का नाम और ब्राउज़र संस्करण) और एंड्रॉइड ओएस संस्करण "https://2ip.ru" को जोड़कर।
3) रूटेड डिवाइस: यह जांचता है कि मोबाइल डिवाइस नीचे सूचीबद्ध 9 शर्तों के साथ निहित है या नहीं:
4) डिवाइस पंजीकरण: रूट किए गए डिवाइस की किसी भी स्थिति का मिलान किया जाता है, इसके स्टोर डिवाइस की जानकारी जासूसी सर्वर में जैसे बिल्ड डिवाइस, डिवाइस का बिल्ड वर्जन, पैकेज का नाम, सिम ऑपरेटर विवरण, रूट डिवाइस और कस्टम रूट डिवाइस।
5) डाउनलोड: यह हार्डकोडेड भविष्य के एन्क्रिप्टेड एपीके नामों के उन्नयन संस्करण को बनाए रखता है जो (/cryptocomponent.2, /cryptocomponent.3 और /cryptocomponent.4) हैं, फ़ाइल डाउनलोड सर्वर विवरण हैं (http://XX.45.XX.34 और http://192.xx.0.xx)।
नोट:
ऊपर उल्लेख सभी क्रिप्टोकंपोनेंट.2, क्रिप्टोकंपोनेंट.3 और क्रिप्टोकंपोनेंट.4 भविष्य के अपग्रेड क्रिप्टोकंपोनेंट एपीके फाइल हैं जो एईएस एल्गोरिथम द्वारा एन्क्रिप्ट किए जाएंगे। वर्तमान संस्करण क्रिप्टोकंपोनेंट है। 1 जिसे एईएस एल्गोरिथम द्वारा भी एन्क्रिप्ट किया गया है।
6) डिवाइस लॉगिन: यह मोबाइल आईएमईआई नंबर और अन्य विवरण जैसे डिवाइस लॉगिन विवरण रखता है।
7) कार्य निष्पादित करें: यह ExecuteTask की सूची को बनाए रखता है जैसे डाउनलोड_और_रुन, अपलोड_फाइल, लॉकडेड डिवाइसेस, लॉकूर, अलार्म अनुरोध, अनलॉक डिवाइस, एन्क्रिप्ट_फाइल्स, decryt_files, leade_http_ url, add_alernate_server, reload_lib, set_borference, abort_all_lib, set_abort_sms, send_sms, send_sms2 , FAKE_INBOX_SMS, FAKE_SENT_SMS,ABORT_ALL_CALLS, ABORT_ALL_CALLS, ABORT_INCOMING, ABORT_OUTGOING, ABORT_NUMBER, REDIRECTION_NUMBER, GET_ALL_SMS, GET_ALL_CONTACTS, GET_ALL_CONTACTS, GET_ALL_CONTACTS, और MASS_CONTACTS।
8) क्रिप्टो यूटिल: यह हार्डकोडेड कुंजी 'MIIxxxxCgAwIB' के साथ एईएस एल्गोरिदम का उपयोग करके फ़ाइलों को एन्क्रिप्ट और डिक्रिप्ट करने के लिए क्रिप्टो यूटिल क्लास फ़ंक्शंस को बनाए रखता है।
9) डेटाबेस का रखरखाव: यह CoonDB.db में सभी जासूसी जानकारी रखता है।
आपकी वेबसाइट हैक हो गई ???
संबंधित संसाधन:
अपने ईमेल सुरक्षा परीक्षण मुफ़्त के लिए अपनी सुरक्षा स्कोर प्राप्त करें स्रोत: https://blog.comodo.com/comodo-news/comodo-warns-android-users-of-tordow-v2-0-outbreak/
