नई दिल्ली। डिजिटल भुगतान प्रणाली में साइबर ठगों द्वारा नए तकनीकी तरीकों का इस्तेमाल करते हुए UPI ऐप्स की सुरक्षा को चकमा देने का मामला सामने आया है। साइबर इंटेलिजेंस फर्म CloudSEK की रिपोर्ट के अनुसार, ठग अब एक टूलकिट “Digital Lutera” का इस्तेमाल कर रहे हैं, जो मोबाइल फोन की ऑपरेटिंग सिस्टम तक पहुंच बना कर खाते पर नियंत्रण हासिल करने में सक्षम है।
रिपोर्ट में बताया गया है कि फर्म ने कम से कम 20 सक्रिय समूहों की पहचान की है, जो संदेश प्लेटफॉर्म Telegram पर काम कर रहे हैं। प्रत्येक समूह में 100 से अधिक सदस्य शामिल हैं, और यहाँ Digital Lutera की चर्चा, वितरण और सक्रिय संचालन किया जा रहा है।
CloudSEK के शोधकर्ता शोभित मिश्रा ने कहा, “Digital Lutera सिर्फ एक सामान्य UPI मैलवेयर नहीं है। यह एक संरचनात्मक हमला है जो डिवाइस की विश्वसनीयता को बदल देता है। जब ऑपरेटिंग सिस्टम ही प्रभावित हो जाता है, तो पारंपरिक सुरक्षा उपाय जैसे कि SIM-बाइंडिंग और ऐप सिग्नेचर चेक अप्रभावी हो जाते हैं। अगर इसे रोकने के लिए कदम न उठाए गए, तो यह डिजिटल भुगतान प्रणाली में बड़े पैमाने पर खातों पर कब्जा करने की संभावना पैदा कर सकता है।”
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
रिपोर्ट में यह भी उल्लेख है कि केवल एक समूह के विश्लेषण से पता चला कि दो दिनों में ही 25-30 लाख रुपये के लेन-देन किए गए, जो इस फ्रॉड मॉडल की तेजी और प्रभावित लोगों की संख्या को दर्शाता है। National Payments Corporation of India को भेजे गए ईमेल क्वेरी का जवाब नहीं आया।
Digital Lutera हमला आमतौर पर तब शुरू होता है जब यूज़र अनजाने में किसी दुर्भावनापूर्ण APK को इंस्टॉल कर लेता है, जिसे सामान्य दिखने वाली फाइल, जैसे ट्रैफिक चालान नोटिस या शादी का निमंत्रण, के रूप में पेश किया जाता है। इंस्टॉल होते ही यह मैलवेयर मोबाइल की SMS अनुमति तक पहुंच बना लेता है।
एक बार टूलकिट इंस्टॉल हो जाने के बाद, हमलावर अपने डिवाइस पर एक विशेष Android फ्रेमवर्क टूल का इस्तेमाल कर सिस्टम-लेवल पहचान और SMS फ़ंक्शन को नियंत्रित करता है। इसके माध्यम से बैंक द्वारा भेजे जाने वाले रजिस्ट्रेशन मैसेज और OTPs चुपचाप Telegram चैनलों में फॉरवर्ड किए जाते हैं। फोन के संदेश रिकॉर्ड में नकली “sent” SMS भी दर्ज कर दिए जाते हैं, जिससे सभी ट्रांजैक्शन वैध प्रतीत होते हैं।
रिपोर्ट में कहा गया है कि इस तकनीक के चलते, पीड़ित का UPI खाता पूरी तरह अलग डिवाइस पर रजिस्टर और नियंत्रित किया जा सकता है, जबकि असली SIM कार्ड फोन में ही रहता है। CloudSEK ने कहा कि उन्होंने संबंधित नियामकों और वित्तीय संस्थाओं को सूचित किया है, ताकि वे सक्रिय रूप से रोकथाम के उपाय कर सकें।
विशेषज्ञों का कहना है कि डिजिटल भुगतान प्रणाली में इस तरह की तकनीक से बढ़ती धोखाधड़ी के खतरे को गंभीरता से लेना जरूरी है। उपयोगकर्ताओं को केवल भरोसेमंद स्रोतों से ही एप्लिकेशन इंस्टॉल करने, OTP और बैंक मैसेज साझा न करने और संदिग्ध अनुरोधों की पुष्टि करने के लिए सतर्क रहने की सलाह दी गई है।
इस घटना ने डिजिटल वित्तीय सुरक्षा के महत्व को फिर से रेखांकित किया है और दिखाया है कि साइबर अपराधियों के पास तकनीकी कौशल के कारण बड़े पैमाने पर फाइनेंशियल फ्रॉड की क्षमता मौजूद है।
