कैसे एक साधारण यूटिलिटी ऐप ने 73 लाख एंड्रॉइड उपयोगकर्ताओं से करोड़ों की चोरी की
इसकी शुरुआत मोबाइल के मासिक स्टेटमेंट में एक मामूली विसंगति से हुई—14.99 डॉलर का बार-बार होने वाला शुल्क, जिसे एक प्रीमियम सेवा सदस्यता के रूप में लेबल किया गया था, जिसमें खाताधारक कभी जानबूझकर शामिल नहीं हुआ था। कुछ ही हफ्तों के भीतर, घटना प्रतिक्रियाकर्ताओं और मोबाइल सुरक्षा विश्लेषकों ने इन अनधिकृत लेनदेन के उछाल का पता गूगल प्ले स्टोर पर मौजूद प्रतीत होने वाले हानिरहित यूटिलिटी अनुप्रयोगों के एक समूह से लगाना शुरू कर दिया। मई 2026 की शुरुआत में जब तक डिजिटल धूल जमी, तब तक 7.3 मिलियन (73 लाख) से अधिक उपयोगकर्ताओं ने नकली कॉल हिस्ट्री रिकवरी टूल का एक सुइट डाउनलोड कर लिया था, जो व्यवस्थित भुगतान चोरी के लिए एक परिष्कृत मुखौटे के रूप में काम कर रहा था।
खतरे के परिदृश्य को देखते हुए, यह घटना स्वचालित ऐप जांच प्रक्रियाओं की निरंतर विफलता को उजागर करती है। जोखिम के दृष्टिकोण से, हमलावरों ने जटिल जीरो-डे कमजोरियों पर भरोसा नहीं किया; इसके बजाय, उन्होंने आधिकारिक ऐप रिपॉजिटरी में उपयोगकर्ताओं के अंतर्निहित विश्वास और सिस्टम-स्तरीय यूटिलिटी को दी जाने वाली व्यापक अनुमतियों का फायदा उठाया। हमले की सतह का आकलन करने पर, यह स्पष्ट हो जाता है कि हमलावरों ने उन उपयोगकर्ताओं के जनसांख्यिकीय को लक्षित किया जो तकनीकी समस्याओं के सरल समाधान की तलाश में थे—जैसे खोया हुआ फोन नंबर वापस पाना या कॉल लॉग को साफ करना—लेकिन बदले में उन्हें अपनी वित्तीय अखंडता से समझौता करना पड़ा।
डिजिटल ट्रोजन हॉर्स की संरचना (The Anatomy of the Digital Trojan Horse)
यह अभियान वैध सिस्टम टूल की तरह दिखने के लिए डिज़ाइन किए गए ऐप्स की एक श्रृंखला पर आधारित था। पर्दे के पीछे, इन अनुप्रयोगों को दोहरे उद्देश्य वाले आर्किटेक्चर के साथ इंजीनियर किया गया था। सतह पर, उन्होंने बुनियादी, हालांकि बग से भरी, कॉल लॉग प्रबंधन सेवा प्रदान की। हालाँकि, आर्किटेक्चरल स्तर पर, उनमें भारी रूप से अस्पष्ट (obfuscated) कोड ब्लॉक थे जो इंस्टॉलेशन के बाद पहले 24 से 48 घंटों तक निष्क्रिय रहे। यह विलंबित निष्पादन एक क्लासिक गुप्त रणनीति है जिसे Google Play Protect द्वारा किए गए प्रारंभिक गतिशील विश्लेषण को बायपास करने के लिए डिज़ाइन किया गया है।
एक बार कूलिंग-ऑफ अवधि समाप्त होने के बाद, ऐप्स ने एक विकेंद्रीकृत कमांड-एंड-कंट्रोल (C2) बुनियादी ढांचे के साथ संबंध शुरू किया। अंतिम-उपयोगकर्ता के दृष्टिकोण से, कुछ भी बदलता हुआ प्रतीत नहीं हुआ। सक्रिय रूप से कहें तो, मैलवेयर ने फोन को क्रैश करने या दखल देने वाले विज्ञापन दिखाने की कोशिश नहीं की; वह मशीन में एक भूत बनकर रहना चाहता था। परिणामस्वरूप, ऐप्स ने उपयोगकर्ताओं को प्रीमियम वायरलेस एप्लिकेशन प्रोटोकॉल (WAP) बिलिंग सेवाओं की सदस्यता देना शुरू कर दिया। क्रेडिट कार्ड लेनदेन के विपरीत, जो तत्काल बैंक अलर्ट ट्रिगर करते हैं, WAP बिलिंग सीधे मोबाइल कैरियर बिल में शुल्क जोड़ती है, एक ऐसा माध्यम जिसे कई उपयोगकर्ता महीने में केवल एक बार ऑडिट करते हैं, यदि वे करते भी हैं।
अनुमति का विरोधाभास: एक दुर्भावनापूर्ण उपकरण के रूप में वैध पहुंच
इस धोखाधड़ी को सुगम बनाने के लिए, ऐप्स को अनुमतियों के एक विशिष्ट सेट की आवश्यकता थी, जो कॉल हिस्ट्री टूल के लिए प्रासंगिक लगते हुए भी, चोरी के लिए आवश्यक विस्तृत पहुंच प्रदान करते थे। डिज़ाइन के अनुसार, कॉल हिस्ट्री ऐप को फोन लॉग तक पहुंच की आवश्यकता होती है। हालाँकि, इन दुर्भावनापूर्ण वेरिएंट्स ने एसएमएस संदेशों को पढ़ने और भेजने की अनुमति और अधिक महत्वपूर्ण रूप से, नोटिफिकेशन लिसनर तक पहुंच का अनुरोध भी किया।
इस प्रकृति के उल्लंघन की स्थिति में, नोटिफिकेशन लिसनर हमलावर के शस्त्रागार में सबसे घातक उपकरण है। जब कोई मोबाइल कैरियर प्रीमियम सदस्यता के लिए वन-टाइम पासवर्ड (OTP) या पुष्टिकरण टेक्स्ट भेजता है, तो मैलवेयर उपयोगकर्ता के देखने से पहले ही नोटिफिकेशन को इंटरसेप्ट कर लेता है। इसके बाद यह कोड निकालता है, सदस्यता की पुष्टि करता है और आने वाले संदेश को हटा देता है। स्वचालन का यह स्तर यह सुनिश्चित करता है कि पीड़ित बिल आने तक वित्तीय नुकसान से पूरी तरह अनजान रहे। यह सोशल इंजीनियरिंग के माध्यम से नहीं, बल्कि तकनीकी चुप्पी के माध्यम से मानवीय फ़ायरवॉल को बायपास किया जाना है।
| अनुरोधित अनुमति | घोषित उद्देश्य (उपयोगकर्ता परिप्रेक्ष्य) | दुर्भावनापूर्ण उपयोग (हमलावर परिप्रेक्ष्य) |
|---|---|---|
| READ_CALL_LOG | कॉल इतिहास प्रदर्शित करें और पुनर्प्राप्त करें | उच्च-मूल्य वाले लक्ष्यों और सक्रिय उपयोगकर्ताओं की पहचान करना |
| RECEIVE_SMS | सत्यापन कोड स्वतः भरें | प्रीमियम सेवा सदस्यताओं को इंटरसेप्ट और पुष्ट करना |
| BIND_NOTIFICATION_LISTENER_SERVICE | स्वच्छ UI के लिए नोटिफिकेशन साफ़ करें | कैरियर अलर्ट को शांत करना और सदस्यता पुष्टिकरण छिपाना |
| REQUEST_INSTALL_PACKAGES | बेहतर सुविधाओं के लिए ऐप अपडेट करें | द्वितीयक पेलोड या अधिक आक्रामक एडवेयर डाउनलोड करना |
गेटकीपर को बायपास करना
कोई आश्चर्य कर सकता है कि रेड फ्लैग उठाए जाने से पहले 7.3 मिलियन डाउनलोड कैसे हो गए। एक एथिकल हैकर-पत्रकार के रूप में, मैंने मोबाइल फोरेंसिक में विशेषज्ञता रखने वाले कई SOC विश्लेषकों के साथ संवाद किया है, और आम सहमति एक अत्यधिक लचीली अस्पष्टता (obfuscation) तकनीक की ओर इशारा करती है। डेवलपर्स ने "स्टेज्ड एक्जीक्यूशन" के रूप में जानी जाने वाली तकनीक का उपयोग किया। प्ले स्टोर पर अपलोड किया गया प्रारंभिक ऐप साफ था, जिसमें केवल एक डाउनलोडर स्टब था। एक बार इंस्टॉल होने के बाद, इसने एक बाहरी, एन्क्रिप्टेड सर्वर से दुर्भावनापूर्ण घटकों को प्राप्त किया।
इसके अलावा, हमलावरों ने एक विकेंद्रीकृत होस्टिंग रणनीति का उपयोग किया। दुर्भावनापूर्ण पेलोड को कई वैध दिखने वाले क्लाउड स्टोरेज प्रदाताओं में फैलाकर, उन्होंने डोमेन-प्रतिष्ठा फिल्टर को ट्रिगर करने से परहेज किया, जिस पर कई सुरक्षा विक्रेता भरोसा करते हैं। यह वह जगह है जहाँ शैडो आईटी हमलावर के खेल के मैदान के लिए एक रूपक बन जाता है—अदृश्य बुनियादी ढांचा जो भारी जोखिम पैदा करता है। ऐप्स में एक परिष्कृत तर्क भी था जो मोबाइल डिबगर या एमुलेटर की उपस्थिति की जाँच करता था। यदि ऐप को पता चलता कि इसे प्रयोगशाला वातावरण में चलाया जा रहा है, तो यह केवल एक औसत कॉल लॉग टूल के रूप में कार्य करता था और कभी C2 कनेक्शन नहीं बनाता था।
डेटा अखंडता और वित्तीय सुरक्षा को हुए नुकसान का आकलन
जबकि प्राथमिक लक्ष्य अनधिकृत भुगतान था, इस अभियान के दौरान उजागर हुए मिशन-महत्वपूर्ण डेटा को नजरअंदाज नहीं किया जा सकता है। कॉल लॉग और एसएमएस तक पहुंच होने से, खतरे के कारकों के पास मेटाडेटा का खजाना था। वे जानते थे कि उपयोगकर्ता किससे बात कर रहे थे, कितनी बार, और कुछ मामलों में, इंटरसेप्ट किए गए एसएमएस के माध्यम से, उन्होंने असंबंधित बैंकिंग या सोशल मीडिया खातों के लिए टू-फैक्टर ऑथेंटिकेशन (2FA) कोड में अंतर्दृष्टि प्राप्त की।
फोरेंसिक दृष्टिकोण से, WAP बिलिंग धोखाधड़ी में धन के प्रवाह का पता लगाना कुख्यात रूप से कठिन है। पैसा अक्सर शेल कंपनियों और अपतटीय एग्रीगेटर्स की एक श्रृंखला के माध्यम से गुजरता है, इससे पहले कि वह क्रिप्टोकरेंसी की विकेंद्रीकृत दुनिया में गायब हो जाए। 7.3 मिलियन पीड़ितों के लिए, रिकवरी की प्रक्रिया चार्जबैक जितनी सरल नहीं है। इसके लिए उनके मोबाइल कैरियर खातों के व्यवस्थित ऑडिट और उनके डिवाइस पर प्रत्येक ऐप को दी गई प्रत्येक अनुमति की विस्तृत समीक्षा की आवश्यकता होती है।
व्यावहारिक बचाव: अपने मोबाइल की सुरक्षा को मजबूत करना
पैचिंग को छोड़कर, इस प्रकार के व्यापक खतरे के खिलाफ सबसे प्रभावी बचाव तकनीकी सतर्कता और स्वस्थ संदेह का संयोजन है। हम अक्सर अपने स्मार्टफोन को सुरक्षित, अटूट डिजिटल तिजोरी के रूप में मानते हैं, लेकिन वे कई खिड़कियों वाले घरों की तरह अधिक हैं; यदि आप एक को खुला छोड़ देते हैं, तो सामने के दरवाजे की सुरक्षा अप्रासंगिक है।
मेरी अपनी लैब में, मैं हर नए एप्लिकेशन को एक संभावित दायित्व (liability) के रूप में मानता हूँ। यूटिलिटी इंस्टॉल करने से पहले, मैं डेवलपर के इतिहास की जांच करता हूं और समीक्षाओं में "रेड फ्लैग" पैटर्न की तलाश करता हूं—अक्सर पांच-सितारा बॉट-जेनरेट की गई प्रशंसा और छिपे हुए शुल्कों के बारे में एक-सितारा चेतावनियों का मिश्रण। यदि कोई साधारण यूटिलिटी नोटिफिकेशन एक्सेस मांगती है, तो वह न्यूनतम विशेषाधिकार (least privilege) के सिद्धांत की मिशन-महत्वपूर्ण विफलता है।
उपयोगकर्ताओं और संगठनों के लिए मुख्य निष्कर्ष
अगले बहु-मिलियन डाउनलोड उल्लंघन में एक आंकड़ा बनने से रोकने के लिए, निम्नलिखित सक्रिय उपायों पर विचार करें:
- अपनी अनुमतियों का ऑडिट करें: समय-समय पर अपने एंड्रॉइड डिवाइस पर "विशेष पहुंच" (Special Access) सेटिंग्स की समीक्षा करें, विशेष रूप से "नोटिफिकेशन एक्सेस" और "एसएमएस" अनुमतियों वाले ऐप्स की तलाश करें।
- कैरियर बिलिंग ब्लॉक: यदि आप जानबूझकर उनका उपयोग नहीं करते हैं, तो तृतीय-पक्ष WAP बिलिंग या प्रीमियम एसएमएस सेवाओं को अक्षम करने के लिए अपने मोबाइल सेवा प्रदाता से संपर्क करें।
- ऐप समीक्षाओं की समीक्षा करें: यह देखने के लिए कि क्या वर्तमान उपयोगकर्ता अनधिकृत व्यवहार की रिपोर्ट कर रहे हैं, समीक्षाओं को "टॉप रेटेड" के बजाय "सबसे हालिया" (Most Recent) के अनुसार क्रमबद्ध करें।
- वित्तीय विवरणों की निगरानी करें: अपने फोन बिल के साथ क्रेडिट कार्ड स्टेटमेंट की तरह व्यवहार करें। कोई भी अप्रत्याशित आवर्ती शुल्क, चाहे वह कितना भी छोटा क्यों न हो, फोरेंसिक जांच की मांग करता है।
आगे देखते हुए, नेटवर्क परिधि एक पुराने महल की खाई की तरह है, यह एक वास्तविकता है जिसे हमें स्वीकार करना चाहिए। सुरक्षा सूक्ष्म होनी चाहिए और डिवाइस तथा एप्लिकेशन स्तर पर होनी चाहिए। जब तक ऐप स्टोर गेटकीपर प्रभावी रूप से स्टेज्ड, एन्क्रिप्टेड पेलोड की पहचान नहीं कर सकते, तब तक मानवीय फ़ायरवॉल की जिम्मेदारी हमारी सुरक्षा की सबसे मजबूत पंक्ति बनी रहेगी। आज ही अपने व्यक्तिगत उपकरणों का जोखिम मूल्यांकन करें; कुछ मिनटों के ऑडिट की लागत एक समझौता किए गए डिजिटल जीवन की कीमत से काफी कम है।
स्रोत (Sources):
- MITRE ATT&CK Framework: Mobile Matrix (T1444, T1516)
- NIST Special Publication 800-163 Rev. 1: Technical Guide to Information Security Testing and Assessment of Mobile Applications
- Google Play Security Rewards Program (GPSRP) Documentation
- स्वतंत्र SOC और घटना प्रतिक्रिया रिपोर्टों से विश्लेषण (2026)
अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। प्रदान की गई जानकारी पेशेवर साइबर सुरक्षा ऑडिट, फोरेंसिक विश्लेषण या आधिकारिक घटना प्रतिक्रिया सेवाओं की जगह नहीं लेती है। अपने संगठन की सुरक्षा स्थिति में महत्वपूर्ण बदलाव करने से पहले हमेशा एक प्रमाणित पेशेवर से परामर्श लें।
आप दूसरी तरफ देखिए।
हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।
/ एक नि: शुल्क खाता बनाएं
