অ্যান্ড্রয়েড ফোনে নতুন ম্যালওয়্যার, এনএফসি প্রযুক্তি ব্যবহার করে কার্ডের তথ্য চুরি
অ্যান্ড্রয়েড ব্যবহারকারীদের লক্ষ্য করে নতুন একধরনের ম্যালওয়্যার ছড়ানো হয়েছে, যা স্মার্টফোনের এনএফসি প্রযুক্তি ব্যবহার করে ব্যাংক কার্ডের তথ্য হাতিয়ে নিচ্ছে। ‘সুপারকার্ড এক্স’ নামের এই ক্ষতিকর সফটওয়্যার ব্যবহার করে প্রতারকেরা সহজেই ভুক্তভোগীর কার্ডের তথ্য জাল করে দোকান কিংবা অটোমেটেড টেলার মেশিনে (এটিএম) অর্থ লেনদেন করছেন।
ইতালিতে এই ম্যালওয়্যার ব্যবহার করে প্রতারণার একাধিক ঘটনা শনাক্ত করেছে মোবাইল নিরাপত্তাদানকারী প্রতিষ্ঠান ক্লিফি। গবেষণায় দেখা গেছে, প্রতিটি ঘটনার ধরন একই হলেও ব্যবহৃত সফটওয়্যারগুলোর মধ্যে সূক্ষ্ম পার্থক্য রয়েছে। এতে ধারণা করা হচ্ছে, প্রতারকদের জন্য অঞ্চলভিত্তিক আলাদা সংস্করণ তৈরি করে দেওয়া হচ্ছে।
চীনাভাষী সাইবার অপরাধীদের সঙ্গে সুপারকার্ড এক্সের সংশ্লিষ্টতা রয়েছে বলে সন্দেহ করা হচ্ছে। এই ম্যালওয়্যারের কোড বিশ্লেষণ করে দেখা গেছে, এটি আগের একটি উন্মুক্ত প্রকল্প ‘এনএফসি গেট’ এবং তার ক্ষতিকর সংস্করণ ‘এনগেট’-এর সঙ্গে অনেকাংশে মিল রয়েছে। ইউরোপে এ ধরনের আক্রমণ গত বছর থেকেই চালানো হচ্ছে। প্রথমে ভুক্তভোগীর কাছে একটি ভুয়া খুদে বার্তা বা হোয়াটসঅ্যাপ বার্তা পাঠানো হয়, যেখানে তাঁর ব্যাংক অ্যাকাউন্টে একটি সন্দেহজনক লেনদেন হয়েছে বলে জানানো হয়। এর সমাধানে একটি নির্দিষ্ট নম্বরে যোগাযোগ করতে বলা হয়। ফোন করলে প্রতারক নিজেকে ব্যাংকের প্রতিনিধি পরিচয় দিয়ে কার্ড নম্বর ও পিন যাচাইয়ের কথা বলে তা সংগ্রহ করেন।
পরে প্রতারক ভুক্তভোগীকে তাঁর ব্যাংকের অ্যাপ ব্যবহার করে লেনদেন সীমা তুলে নিতে বলেন এবং একটি অ্যাপ ডাউনলোড করতে বলেন। ‘রিডার’ নামের ওই অ্যাপটি আসলে একটি ভুয়া সফটওয়্যার, যার ভেতর সুপারকার্ড এক্স ম্যালওয়্যারটি লুকানো থাকে। অ্যাপটি ইনস্টল হলে এটি শুধু এনএফসি ব্যবহারের অনুমতি চায়, যা ব্যবহারকারীদের কাছে সন্দেহজনক মনে হয় না।
একপর্যায়ে প্রতারক ভুক্তভোগীকে বলেন, তাঁর কার্ডটি ফোনে ছোঁয়াতে, যাতে তথাকথিত নিরাপত্তা যাচাই সম্পন্ন হয়। কিন্তু সেই মুহূর্তেই ম্যালওয়্যার কার্ডের চিপ থেকে তথ্য পড়ে তা দূরবর্তী সার্ভারে পাঠিয়ে দেয়। পরে প্রতারকের হাতে থাকা অন্য একটি অ্যান্ড্রয়েড ডিভাইসে ‘ট্যাপার’ নামের একটি অ্যাপের মাধ্যমে ওই তথ্য ব্যবহার করে ভুক্তভোগীর কার্ডের এমুলেশন করা হয়। এই অনুকরণ করা কার্ড ব্যবহার করে দোকানে বা এটিএম বুথে অর্থ উত্তোলন করা হয়।
যেহেতু এসব লেনদেন সাধারণত সীমিত পরিমাণে হয় এবং তাতে কার্ডের প্রকৃত উপস্থিতির মতো তথ্য দেখা যায়, তাই ব্যাংকের নিরাপত্তাব্যবস্থা তা শনাক্ত করতে ব্যর্থ হয়। ক্লিফির গবেষকেরা জানিয়েছেন, সুপারকার্ড এক্স এখন পর্যন্ত কোনো অ্যান্টিভাইরাস সফটওয়্যারে শনাক্ত হচ্ছে না। কারণ, এটি অতিরিক্ত ঝুঁকিপূর্ণ অনুমতি চায় না। স্ক্রিনের ওপর অতিরিক্ত কিছু দেখায় না, ফলে প্রচলিত নিরাপত্তা স্ক্যানেও এটি ধরা পড়ে না।
এ বিষয়ে গুগলের সঙ্গে যোগাযোগ করলে প্রতিষ্ঠানটির এক মুখপাত্র বলেন, ‘আমাদের বর্তমান শনাক্তকরণ ব্যবস্থায় সুপারকার্ড এক্স-সংবলিত কোনো অ্যাপ গুগল প্লেতে পাওয়া যায় না। অ্যান্ড্রয়েড ব্যবহারকারীরা ডিফল্টভাবে গুগল প্লে প্রোটেক্ট দ্বারা সুরক্ষিত থাকেন।’
সূত্র: ব্লিপিংকম্পিউটার ডটকম