SOVA Android Trojan – ALERT!!

ग्राहक को अपने खाते में किसी भी असामान्य गतिविधि की सूचना तुरंत संबंधित बैंक को संबंधित विवरण के साथ देनी चाहिए ताकि आगे की उचित कार्रवाई की जा सके।वा (SOVA) एंड्रॉइड ट्रोजन – अलर्ट !!ऐसा रिपोर्ट किया गया है कि सोवा (SOVA) एंड्रॉइड ट्रोजन का उपयोग करके एक नए प्रकार के मोबाइल बैंकिंग मालवेयर अभियान द्वारा भारतीय बैंकिंग ग्राहकों को टारगेट किया जा रहा है। इस मालवेयर का प्रथम संस्करण सितंबर 2021 के दौरान अंडरग्राउंड मार्केट में बिक्री के लिए आया था जोकि कीलॉगिंग के माध्यम से उपयोगकर्ता के नाम और पासवर्ड सृजन, कुकीज़ चुराने और विभिन्न ऐप्स में झूठे ओवरले जोड़ने की क्षमता रखता था। पहले सोवा के मुख्य लक्ष्य संयुक्त राज्य अमेरिका, रूस और स्पेन जैसे देश थे, लेकिन जुलाई 2022 में इसने अपनी टारगेट सूची में भारत सहित कई अन्य देशों को जोड़ लिया। इस मालवेयर का नवीनतम संस्करण उन ऐप्स में छुपा रहता है जो क्रोम, अमेज़ॅन, एनएफटी प्लेटफॉर्म जैसे कुछ प्रसिद्ध ऐप्स के लोगो प्रदर्शित करती हैं और उपयोगकर्ता इन्हें धोखे में इंस्टॉल कर लेते हैं। जब उपयोगकर्ता अपने नेट बैंकिंग ऐप में लॉग इन कर बैंक खातों को एक्सेस करते हैं तो यह मालवेयर क्रेडेंशियल्स को कैप्चर कर लेता है। ऐसा प्रतीत होता है कि सोवा (SOVA) का नया संस्करण बैंकिंग ऐप्स और क्रिप्टो एक्सचेंज/वॉलेट सहित 200 से अधिक मोबाइल एप्लिकेशन को टारगेट कर रहा है। इसके अलावा, इसका नवीनतम संस्करण रैंसमवेयर सुविधाओं सहित विभिन्न प्रकार के कोड का विकास करता है। एईएस एन्क्रिप्शन तकनीक का उपयोग संक्रमित डिवाइस पर फ़ाइलों को एन्क्रिप्ट करने के लिए किया जाता है तथा संक्रमित फ़ाइल के नाम में “.enc” एक्सटेंशन जोड़ा दिया जाता है।संक्रमण तंत्रऐसा पाया गया है कि अधिकांश एंड्रॉइड बैंकिंग ट्रोजन की ही तरह यह मालवेयर भी स्मिशिंग (एसएमएस के माध्यम से फ़िशिंग) अटैक के माध्यम से फैलाया जाता है। एक बार फोन पर नकली एंड्रॉइड एप्लिकेशन इंस्टॉल हो जाने के बाद, यह टारगेट एप्लिकेशन की सूची प्राप्त करने के लिए डिवाइस पर इंस्टॉल किए गए सभी एप्लिकेशन की सूची को सी2 (C2) (कमांड एंड कंट्रोल सर्वर), जिसे थ्रेट एक्टर द्वारा नियंत्रित किया जाता है, पर भेजता है। इसके बाद सी2 (C2) द्वारा प्रत्येक टारगेट एप्लिकेशन के पते की सूची को मालवेयर के पास वापस भेजा जाता है और इस जानकारी को एक एक्सएमएल (XML) फ़ाइल के अंदर संग्रहीत किया जाता है। इन टारगेट एप्लिकेशन को तब मालवेयर और C2 के बीच संपर्क के माध्यम से संचालित किया जाता है।

मालवेयर निम्नलिखित कार्य करने में सक्षम है:

कीस्ट्रोक्स एकत्रित करना
कुकीज़ चुराना
इंटरसेप्ट मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) टोकन
स्क्रीनशॉट लेना और वेबकैम से वीडियो रिकॉर्ड करना
एंड्रॉइड एक्सेसिबिलिटी सेवा का उपयोग करके स्क्रीन क्लिक, स्वाइप आदि करना
कॉपी / पेस्ट करना
ऐप्स की एक श्रृंखला में झूठे ओवरले जोड़ना
200 से अधिक बैंकिंग और भुगतान एप्लीकेशन्स की नकल करना

यह पता चला है कि सोवा के निर्माताओं ने इसकी स्थापना के बाद से हाल ही में इसे पांचवें संस्करण में अपग्रेड किया है, और इस संस्करण में एंड्रॉइड फोन पर सभी डेटा को एन्क्रिप्ट करने और उसे रैंसम के लिए रोक कर रखने की क्षमता है। सोवा की एक अन्य प्रमुख विशेषता इसके “सुरक्षा” मॉड्यूल की रीफैक्टरिंग है जिसका उद्देश्य पीड़ितों द्वारा उठाए गए विभिन्न कदमों से स्वयं को बचाना है। उदाहरण के लिए, यदि उपयोगकर्ता सेटिंग्स में जाकर या ऐप आइकन को दबा कर मालवेयर को अनइंस्टॉल करने का प्रयास करता है तो सोवा होम स्क्रीन पर लौटकर एक टोस्ट (छोटा पॉपअप) “यह ऐप सुरक्षित है” – दिखाता है जोकि इन क्रियाओं को रोकने (एब्युज़ ऑफ द असेसिबिलिटी के माध्यम से) और ऐसी ऐप्स को बचाने में सक्षम है।

ये हमले संवेदनशील ग्राहक डेटा की गोपनीयता और सुरक्षा को प्रभावी ढंग से खतरे में डाल सकते हैं और इसके परिणामस्वरूप बड़े पैमाने पर हमले और वित्तीय धोखाधड़ी हो सकती है।

सर्वश्रेष्ठ प्रथाएं और सुझाव :

अपने डिवाइस के निर्माता या ऑपरेटिंग सिस्टम ऐप स्टोर जैसे आधिकारिक ऐप स्टोर को ही अपना डाउनलोड स्रोत बना कर संभावित रूप से हानिकारक ऐप्स डाउनलोड करने के जोखिम को कम करें।
एंड्रॉइड उपकरणों पर ऐप्स डाउनलोड/इंस्टॉल करने से पहले (यहां तक कि गूगल प्ले स्टोर से भी) :

हमेशा ऐप विवरण, डाउनलोड की संख्या, उपयोगकर्ता समीक्षा, टिप्पणियां और “एडिशनल इंफोर्मेशन” की समीक्षा करें।
ऐप अनुमतियों को सत्यापित करें और केवल उन्हें ही अनुमति प्रदान करें जिनके संदर्भ ऐप के उद्देश्य के लिए प्रासंगिक हों।
साइड लोडेड ऐप्स इंस्टॉल करने के लिए “अनट्रसटेड सोर्स” चेकबॉक्स को चेक न करें।

एंड्रॉइड डिवाइस वेंडर्स द्वारा जब भी एंड्रॉइड अपडेट और पैच उपलब्ध कराए जाएँ तब इन्हें इंस्टॉल करें।
अनट्रसटेड वेबसाइटों को ब्राउज़ न करें या अनट्रसटेड लिंक को फॉलो न करें और अवांछित ईमेल और एसएमएस में दिए गए लिंक पर क्लिक करते समय सावधानी बरतें।
अद्यतन एंटीवायरस और एंटीस्पायवेयर सॉफ़्टवेयर इंस्टॉल करें और इन्हें हमेशा अद्यतन रखें।

- - ऐसे संदिग्ध नंबरों की तलाश करें जो वास्तविक मोबाइल फोन नंबरों की तरह न दिखें। स्कैमर्स अक्सर अपने वास्तविक फोन नंबर का खुलासा करने से बचने के लिए ईमेल-टू-टेक्स्ट सेवाओं का उपयोग करके अपनी पहचान छुपाते हैं। बैंकों से प्राप्त वास्तविक एसएमएस संदेशों में आमतौर पर प्रेषक सूचना क्षेत्र में फोन नंबर के बजाय प्रेषक आईडी (बैंक का संक्षिप्त नाम शामिल होता है) होता है।
  - संदेश में दिए गए लिंक पर क्लिक करने से पहले विस्तृत शोध करें। ऐसी कई वेबसाइटें हैं जो किसी को भी फ़ोन नंबर के आधार पर खोज करने की अनुमति देती हैं और कोई नंबर वैध है या नहीं, इस बारे में कोई भी विश्वसनीय जानकारी देखने की अनुमति देती हैं।
  - केवल उस यूआरएल पर क्लिक करें जो स्पष्ट रूप से वेबसाइट डोमेन को इंगित करता हो। संदेह होने पर, जानकारी को सुनिश्चित करने के लिए उपयोगकर्ता सीधे सर्च इंजन का उपयोग करके संगठन की वेबसाइट खोज कर पता लगा सकते हैं कि वह वेबसाइट वैध है या नहीं।
  - अपने एंटीवायरस, फ़ायरवॉल और फ़िल्टरिंग सेवाओं में सुरक्षित ब्राउज़िंग टूल, फ़िल्टरिंग टूल (एंटीवायरस और सामग्री-आधारित फ़िल्टरिंग) का उपयोग करें।
  - छोटे यूआरएल, जैसे कि bit.ly और tinyurl, के प्रति सावधानी बरतेंl उपयोगकर्ताओं को सलाह दी जाती है कि वे जिस वेबसाइट पर जा रहे हैं उसका पूरा डोमेन देखने के लिए संक्षिप्त यूआरएल (यदि संभव हो) पर अपने कर्सर को ले जाएं या यूआरएल चेकर का उपयोग करें जो उपयोगकर्ता को एक छोटा यूआरएल एंटर करने और पूरा यूआरएल देखने की अनुमति देगा। उपयोगकर्ता पूरे यूआरएल का पूर्वावलोकन करने के लिए शॉर्टनिंग सर्विस प्रीव्यू फीचर का भी इस्तेमाल कर सकते हैं।
  - व्यक्तिगत विवरण या खाता लॉगिन विवरण जैसी कोई संवेदनशील जानकारी प्रदान करने से पहले, ब्राउज़र के एड्रेस बार में हरे रंग के लॉक से वैध एन्क्रिप्शन प्रमाणपत्र देखें।

( अंतिम संशोधन Dec 26, 2022 at 05:12:47 PM )

ADYA

↻

−

✖