نیا اینڈرائیڈ میلویئر خاندان ہیروڈوٹس خاموشی سے موبائل فراڈ کی کامیابی کی سطح بڑھا رہا ہے۔ Threat Fabric کی تحقیق کے مطابق ہیروڈوٹس کو مالیاتی مقاصد والے مجرموں کو فراہم کرنے کے لیے Malware-as-a-Service (MaaS) کے طور پر پیش کیا جا رہا ہے اور اس کے آپریٹرز ممکنہ طور پر Brokewell کے پیچھے والے گروپ ہی ہیں۔ اگرچہ یہ میلویئر ابھی ترقی کے مراحل میں ہے، مگر اسے پہلے ہی حقیقی حملوں میں استعمال کیا جا رہا ہے — بنیادی طور پر اٹلی اور برازیل میں SMS فشنگ (smishing) کے ذریعے۔
یہ بلاگ بتاتا ہے کہ ہیروڈوٹس کیسے کام کرتا ہے، اس کی خصوصیات کیا ہیں، اور آپ یا آپ کی تنظیم اس خطرے کو کم کرنے کے لیے کیا کر سکتی ہے۔
ہیروڈوٹس کیا نیا کر رہا ہے؟
ہیروڈوٹس عام موبائل فراڈ تکنیکوں کو ایک چالاک نئی ٹیک کے ساتھ ملا کر استعمال کرتا ہے: یہ جان بوجھ کر انسانی ٹائپنگ کے انداز کی نقل کرتا ہے تاکہ وہ رویّہ پر مبنی اینٹی فراڈ سسٹمز سے بچ سکے۔
ہیروڈوٹس کی کلیدی صلاحیتیں:
•Smishing کے ذریعے فراہم: شکار کو ایک SMS میں ڈراپر APK کا لنک بھیجا جاتا ہے۔
•ڈراپر صارف کو Accessibility اجازت دینے پر آمادہ کرتا ہے (Android 13+)، اور اجازت دینے کے مراحل کو ایک جعلی لوڈنگ اسکرین کے پیچھے چھپا دینے کے لیے اوورلے دکھاتا ہے۔
•Accessibility فعال ہونے کے بعد، میلویئر ڈیوائس کے یوزر انٹرفیس کے ساتھ مکمل طور پر تعامل کر سکتا ہے: مخصوص اسکرین کوآرڈینیٹس پر ٹیپ، سوائپ، بیک، کلپ بورڈ پیسٹ یا کی بورڈ ٹائپنگ، اور اسکرین کیپچر۔
•فراڈ کے اوزار: کسٹم SMS بھیجنے کا کنٹرول پینل، بنکنگ اور کرپٹو ایپس کی نقل بناتے اوورلے صفحات، شفاف اوورلے جو متاثرہ سے فراڈ کو چھپاتے ہیں، دو فیکٹر کوڈ چوری کرنے والا SMS stealer، اور اسکرین کیپچر۔
•ٹائپنگ کے لیے ‘ہیومنائزر’: جب میلویئر ٹیکسٹ داخل کرتا ہے تو یہ ہر ان پٹ ایونٹ کے درمیان 0.3 سے 3 سیکنڈ تک کے تصادفی وقفے ڈال دیتا ہے۔ یہ بے قاعدہ وقفہ انسانی ٹائپنگ کے انداز کی نقل کرتا ہے اور مشین-تیز رفتار ان پٹ کو دیکھ کر چلنے والے رویّہ پر مبنی دفاع سے بچاتا ہے۔
جیسا کہ Threat Fabric نے کہا: “ایسے وقفوں کی بےقاعدگی واقعی ایک صارف کے ٹائپ کرنے کے انداز سے میل کھاتی ہے … اداکار ممکنہ طور پر رویّہ-صرف اینٹی فراڈ حل سے بچنے کی کوشش کر رہے ہیں جو مشین-جیسی رفتار کی تلاش کرتے ہیں۔”
‘ہیومنائزر’ کیوں اہم ہے؟
سیکیورٹی حل تیزی سے صارف کے تعاملات (یعنی ایپ یا ڈیوائس پر حرکتوں) کے اشارات پر انحصار کر رہے ہیں تاکہ خودکار یا مشینی بدعنوانی کو پکڑا جا سکے۔ تیز، بالکل درست وقت پر ہونے والی ٹائپنگ یا کلک کی قطاریں ایک واضح سرخ جھنڈی ہوتی ہیں۔
ہیروڈوٹس اس ڈیٹیکشن لوجک کو الٹ دیتا ہے — یہ جان بوجھ کر کارروائیوں کو سست اور وقفہدار کر دیتا ہے تاکہ تعاملات انسان کی طرح دکھیں۔ یہ روایتی تاخیر سے مختلف ہے (جو عام طور پر UI کو مستحکم کرنے کے لیے ہوتی ہیں) — یہاں تاخیر فرار کی حکمتِ عملی کے طور پر ڈیزائن کی گئی ہے۔
جب اوورلے جو حملہ کرنے والے کے مراحل کو صارف سے چھپاتے ہیں، اور Accessibility اختیارات میلویئر کو طاقتور کنٹرول دیتے ہیں، تو نتیجہ ایک بہت ہی چھپا ہوا فراڈ چین بنتا ہے: صارف کو ایک معمولی لوڈنگ اسکرین نظر آتی ہے جبکہ میلویئر خاموشی سے اکاؤنٹ کی اسناد، 2FA کوڈز یا لین دین چوری کر رہا ہوتا ہے۔
نشانہ کون ہیں؟
Threat Fabric کی ٹیلی میٹری سے معلوم ہوتا ہے کہ ابتدائی تعیناتی اٹلی اور برازیل میں ہوئی ہے۔ محققین نے کئی مختلف سب ڈومینز کا پتہ لگایا ہے جو بتاتے ہیں کہ متعدد خطرہ اداکار اس MaaS کو پہلے ہی استعمال کر رہے ہیں۔ چونکہ ہیروڈوٹس سروس کی صورت میں دستیاب ہے، اس کا استعمال جلد ہی تیزی سے پھیل سکتا ہے۔
ہیروڈوٹس طرز کے حملوں سے کیسے بچیں اور انہیں کیسے پہچانے؟
عام صارفین کے لیے:
•نامعلوم ذرائع سے APK براہِ راست نہ ڈاؤن لوڈ کریں۔ اگر آپ پبلشر پر واضح طور پر اعتماد نہیں کرتے تو سائیڈ لوڈ نہ کریں۔
•Google Play Protect کو فعال رکھیں۔ یہ خطرناک ایپس کے خلاف اضافی تحفظ فراہم کرتا ہے۔
•SMS لنکس میں احتیاط برتیں۔ Smishing پیغامات عموماً جلدی میں کام کرنے کا دباؤ ڈالتے ہیں — غیر متوقع لنکس پر کلک نہ کریں۔
•عجیب اجازت کی درخواستوں سے ہوشیار رہیں۔ اگر کوئی ایپ Accessibility یا دوسری حساس permissions مانگتی ہے تو جانچیں کہ اسے کیوں درکار ہیں؛ اگر شک ہو تو اجازت واپس لے لیں۔
•اوورلے نظر آنے کی صورت میں محتاط رہیں۔ اگر کوئی ایپ جعلی “لوڈنگ” دکھا رہی ہو یا غیر متوقع یوزر انٹرفیس آئے تو ایپ بند کریں، اجازتیں چیک کریں، اور مشکوک سافٹ ویئر انسٹال کریں۔
تنظیمی اور سیکیورٹی ٹیموں کے لیے:
•ڈیٹیکشن رولز سخت کریں۔ اوورلے کے استعمال، Accessibility ایکچیوئلیٹی، اور عمل کے غیر معمولی رویّوں کو یکجا کرنے والے اشاروں پر نظر رکھیں نہ کہ صرف ٹائمنگ پر۔
•تیزی سے پھیلاؤ کی نگرانی کریں۔ چونکہ یہ MaaS ہے، اپنے ٹیلیمیٹری میں نئے سب ڈومینز، متعلقہ کنٹرول پینلز، یا smishing پیٹرنز میں اضافے کو ٹریک کریں۔
•صارفین کو آگاہ کریں۔ سائیڈ لوڈنگ اور Accessibility اجازت دینے کے خطرات پر مبنی phishing/smishing آگاہی مہمات چلائیں۔
•حساس کارروائیوں کے لیے اضافی توثیق نافذ کریں۔ جہاں ممکن ہو، بڑے خطرے والے لین دین کے لیے اضافی کنفرمیشن یا آؤٹ-آف-بینڈ ویریفیکیشن لازمی کریں۔
•ڈیوائس ہائیجین برقرار رکھیں۔ OS اپ ڈیٹس کو وقتی طور پر اپنائیں — اگرچہ ہیروڈوٹس Android 13+ کی کچھ حفاظت کو عبور کرنے کی کوشش کرتا ہے، اپ ٹو ڈیٹ رہنے سے دیگر حملوں کے راستے بند ہوتے ہیں۔
حتمی بات
ہیروڈوٹس بتاتا ہے کہ خطرہ اداکار رویّہ پر مبنی دفاعوں کے گرد کس طرح جدت لا رہے ہیں۔ انسانی ٹائپنگ کے انداز کی نقل اور اوورلے + Accessibility کے غلط استعمال کو ملا کر، مجرم زیادہ قابلِ اعتماد اور چھپے ہوئے فراڈ فلو بنا رہے ہیں۔ چونکہ یہ malware-as-a-service کی صورت میں دستیاب ہے، اس کا استعمال تیزی سے بڑھ سکتا ہے — لہٰذا صارف کی تعلیم، محتاط اجازت مینجمنٹ، اور تہہ دار ڈیٹیکشن حکمتِ عملیاں پہلے سے کہیں زیادہ اہم ہیں۔
اگر آپ کو غیر متوقع SMS کے ذریعے ڈاؤن لوڈ لنک ملے تو رکیں۔ ایک کلک پوری سسٹم میں دراندازی کا راستہ کھول سکتا ہے۔ شک کریں، Play Protect فعال رکھیں، اور Accessibility درخواستوں کو سرخ جھنڈی سمجھیں — کیونکہ حملہ آور اب زیادہ چالاک ہو چکے ہیں۔
سورس
https://www.bleepingcomputer.com/news/security/new-herodotus-android-malware-fakes-human-typing-to-avoid-detection/
