साइबर सुरक्षा विशेषज्ञों ने चेतावनी दी है कि नकली सुरक्षा वेबसाइटों के जरिए एक नया फिशिंग अभियान चलाया जा रहा है, जिसमें Progressive Web App (PWA) तकनीक का इस्तेमाल कर यूजर्स के लॉगिन क्रेडेंशियल, OTP कोड और क्रिप्टोकरेंसी वॉलेट डेटा चोरी करने की कोशिश की जा रही है। यह अभियान खुद को सुरक्षा जांच सेवा बताकर यूजर्स को धोखा देने पर आधारित है।
रिपोर्ट के अनुसार यह हमला फर्जी डोमेन google-prism[.]com के जरिए संचालित किया जा रहा है, जो खुद को Google की सुरक्षा सेवा जैसा दिखाने की कोशिश करता है। साइट पर चार चरणों वाला सेटअप दिखाया जाता है, जिसमें यूजर्स से खतरनाक परमिशन देने और संदिग्ध PWA ऐप इंस्टॉल करने को कहा जाता है।
साइबर सुरक्षा शोधकर्ताओं ने बताया कि इस अभियान में सोशल इंजीनियरिंग का इस्तेमाल कर यूजर्स को यह विश्वास दिलाने की कोशिश की जाती है कि उनके डिवाइस की सुरक्षा जांच की जा रही है। नकली पेज पर “अतिरिक्त सुरक्षा” का दावा कर क्लिपबोर्ड एक्सेस, नोटिफिकेशन और अन्य संवेदनशील अनुमतियां मांगी जाती हैं।
विशेषज्ञों के अनुसार PWA ऐप की सबसे खतरनाक क्षमता यह है कि यह ब्राउजर के भीतर स्टैंडअलोन एप्लिकेशन की तरह काम कर सकता है। जब यूजर नकली सुरक्षा प्रक्रिया को पूरा करने के लिए परमिशन देता है, तो हमला शुरू हो जाता है। यह ऐप क्लिपबोर्ड में कॉपी किए गए टेक्स्ट, GPS लोकेशन और संपर्क सूची जैसी जानकारी चुराने में सक्षम पाया गया है।
FCRF Launches Flagship Certified Fraud Investigator (CFI) Program
रिपोर्ट में कहा गया है कि यह मालवेयर नेटवर्क प्रॉक्सी की तरह भी काम कर सकता है। इसका मतलब है कि हैकर पीड़ित के ब्राउजर को मध्यस्थ बनाकर इंटरनेट रिक्वेस्ट भेज सकता है और स्थानीय नेटवर्क के सक्रिय होस्ट की पहचान कर सकता है।
यह हमला WebOTP API का उपयोग करके SMS आधारित वन-टाइम पासवर्ड (OTP) इंटरसेप्ट करने की भी कोशिश करता है। साथ ही malicious साइट हर 30 सेकंड में /api/heartbeat नामक एंडपॉइंट को चेक करके नए कमांड प्राप्त कर सकती है।
साइबर सुरक्षा कंपनी Malwarebytes के शोधकर्ताओं ने बताया कि यह मालवेयर विस्तृत डिवाइस फिंगरप्रिंटिंग भी करता है, जिससे यूजर की ऑनलाइन गतिविधियों को ट्रैक किया जा सकता है। सबसे चिंताजनक बात यह है कि PWA ऐप के अंदर WebSocket रिले सिस्टम पाया गया है, जो हमलावर को पीड़ित के ब्राउजर के जरिए नेटवर्क रिक्वेस्ट भेजने की सुविधा देता है।
विशेषज्ञों ने बताया कि यह मालवेयर HTTP प्रॉक्सी की तरह काम करते हुए हमलावर द्वारा तय किए गए हेडर, मेथड और क्रेडेंशियल के साथ फेच रिक्वेस्ट को निष्पादित कर सकता है और पूरी प्रतिक्रिया वापस भेज सकता है। यह क्षमता वित्तीय धोखाधड़ी और अकाउंट हैकिंग के खतरे को बढ़ाती है।
साइबर रिसर्च रिपोर्ट में यह भी पाया गया कि malicious PWA में Push Notification सिस्टम और Periodic Background Sync फीचर का दुरुपयोग किया गया है। नोटिफिकेशन के जरिए यूजर्स को फर्जी सुरक्षा अलर्ट भेजकर बार-बार ऐप खोलने के लिए प्रेरित किया जाता है।
इसके अलावा एक संदिग्ध Android APK भी वितरित किया जा रहा है, जिसे “क्रिटिकल सिक्योरिटी अपडेट” बताकर डाउनलोड कराया जाता है। इस APK को काम करने के लिए 33 खतरनाक परमिशन मांगी जाती हैं, जिनमें SMS, कॉल लॉग, माइक्रोफोन, संपर्क सूची और एक्सेसिबिलिटी सर्विस शामिल है।
शोधकर्ताओं ने चेतावनी दी है कि यह APK कीस्ट्रोक रिकॉर्ड करने वाले कस्टम कीबोर्ड, नोटिफिकेशन लिस्नर और ऑटोफिल क्रेडेंशियल कैप्चर सिस्टम जैसे घटकों के साथ आता है। डिवाइस में स्थायी रहने के लिए यह खुद को डिवाइस एडमिनिस्ट्रेटर भी बना सकता है, जिससे इसे हटाना मुश्किल हो जाता है।
सुरक्षा विशेषज्ञों का कहना है कि वास्तविक सुरक्षा जांच कभी भी वेबसाइट पॉप-अप के जरिए नहीं की जाती। यूजर्स को केवल आधिकारिक खाते के पोर्टल पर जाकर सुरक्षा सेटिंग्स प्रबंधित करनी चाहिए। यदि किसी डिवाइस में संदिग्ध “Security Check” या com.device.sync पैकेज वाला ऐप दिखे तो उसे तुरंत हटाने की सलाह दी गई है।
रिपोर्ट में कहा गया है कि ऐसे हमलों से बचने के लिए अनजान वेबसाइटों से PWA इंस्टॉल करने से बचें, नोटिफिकेशन परमिशन सीमित रखें और किसी भी संदिग्ध APK को तुरंत अनइंस्टॉल करें। विशेषज्ञों ने यह भी बताया कि Firefox और Safari जैसे कुछ ब्राउजरों में इस मालवेयर की क्षमता सीमित हो जाती है, लेकिन पुश नोटिफिकेशन खतरा अभी भी मौजूद रहता है।
