স্মার্টফোন থেকে ই–মেইল ঠিকানা, পাসওয়ার্ডসহ বার্তা ও ছবি চুরি করছে এই অ্যাপ!

scworld.com/brief/report...

🧠 ভূমিকা

আধুনিক স্মার্টফোনে আমরা সব গুরুত্বপূর্ণ তথ্য রাখি—ইমেইল, পাসওয়ার্ড, ছবি, মেসেঞ্জার ও মেসেজ ইত্যাদি। কিন্তু কিছু নতুন ধরনের ম্যালওয়্যার “ফিশিং অ্যাপ” বা “ইনফো-স্টিলার” ব্যবহার করে এই তথ্য সহজে চুরি করতেই পারে। চলুন বিস্তারিতভাবে বিষয়টা জানি।


১. সমস্যাটির পেছনের কাহিনী

  • Malwarebytes–এ প্রকাশিত রিপোর্ট অনুযায়ী, ২০২৪ সালে Android ফোনে ২২,৮০০+ ফিশিং অ্যাপ শনাক্ত করা হয়েছে; এতে ৫২০০+ একমাল তথ্য চুরি এবং ৪৮০০+ OTP/notification চুরি করতে সক্ষম (malwarebytes.com)।

  • এই ম্যালওয়্যার শুধুমাত্র পাসওয়ার্ড নয়, SMS-ভিত্তিক OTP, notification বার্তা, ছবি থেকে ক্রিপ্টো ওয়ালেট রিকভারি ফ্রেজও চুরি করে ।


২. কীভাবে কাজ করে ফিশিং অ্যাপ?

  1. ভুয়া ইন্টারফেস (Overlay attack)

    • একটি সত্যিকারের অ্যাপে ভরা ভুয়া লগইন স্ক্রিন দেখানো হয়, যেখানে আপনি ইউজারনেম/পাসওয়ার্ড দিলে আক্রমণকারীরা তা সরাসরি পায় ।

    • notification বা SMS বার্তা দেখে তা সংগ্রহ করে; MFA (multi-factor authentication) বিনা সচেতনতা চালু করে ।

    • SparkKitty এবং SparkCat ম্যালওয়্যার ছবি থেকে ক্রিপ্টো seed phrase/পাসওয়ার্ড চিনতে পারে ।

    • Android Accessibility ব্যবহার করে নতুন অ্যাপ ইনস্টল, permission চাওয়া ও রিমোট নিয়ন্ত্রণ নেয় ।


৩. খ্যাতিমান কেস স্টাডিস

🔹 FluBot

  • SMS দিয়ে link পাঠিয়ে APK ডাউনলোড করায় ব্যাংকিং/ক্রেডিট কার্ড ডেটা চুরি করে ।

🔹 Crocodilus

  • সোশ্যাল মিডিয়া বিজ্ঞাপনের মাধ্যমে ছড়িয়ে, যোগাযোগ তালিকায় মিথ্যা নম্বর যোগ করে ভুক্তভোগী প্রতারিত করে ।

🔹 Antidot

  • Google Play আপডেট ভেবে ইনস্টল করলে overlay attack, accessibility আপত্তিকর ব্যবহারে লগইন ডেটা চুরি করে ।

🔹 Cerberus

  • overlay ও keylogging–এর মাধ্যমে ব্যাংকিং কোড, OTP লুটে নেয় এবং SMS/MFA কোড সংগ্রহ করে ।


৪. কোন ধরনের অ্যাপগুলো ঝুঁকিপূর্ণ?

  • উপভোক্তা পছন্দের জনপ্রিয় অ্যাপ: TikTok, WhatsApp কপি, ক্রিপ্টো বা ওয়ালেট ইনস্টল সম্ভাবনা বেশি ।

  • তৃতীয় পক্ষের স্টোর: Play Store–এর বাইরে APK বা অপরিচিত লিংকের মাধ্যমে ডাউনলোড ঝুঁকি বাড়ে ।

  • কম রিভিউ/নতুন অ্যাপ: যেগুলো সতর্কতার মাত্রা কম, সেগুলো চুরি চালাতে সহজ ।


৫. রিস্ক এবং প্রভাব

  1. শুরুতে ইমেইল/সোশ্যাল অ্যাকাউন্টে প্রবেশাধিকার → আইডেন্টিটি চুরি ও ফ্রড।

  2. ব্যাংক/ক্রিপ্টো অ্যাকাউন্টে প্রবেশাধিকার → অর্থ ট্রফি বা চুরি।

  3. অটো OTP ও MFA চুরি → নতুন নিরাপত্তা স্তরও ভেঙে দেয় ।


৬. কিভাবে নিজের সুরক্ষা করবেন

✔️ নিরাপদ ইনস্টলেশন অভ্যাস

  • শুধুমাত্র Google Play বা App Store থেকে অ্যাপ ডাউনলোড করুন; বাইরের APK এড়িয়ে চলুন ।

  • অ্যাপ রিভিউ পড়ে অন্তত ১০০+ রিভিউ দেখে নিশ্চিত হোন ।

✔️ permission & notification নিয়ন্ত্রণ

  • অপ্রয়োজনীয় permission না দিন; notification access যাচাই করুন ।

✔️ মোবাইল সিকিউরিটি সফটওয়্যার

  • Malwarebytes, Kaspersky বা F‑Secure–এর মতো এ্যান্টিম্যালওয়্যার ব্যবহার করুন (f-secure.com)।

✔️ অনন্য ও শক্তিশালী পাসওয়ার্ড

  • পাসওয়ার্ড ম্যানেজার ব্যবহার করে প্রতিটি অ্যাকাউন্টের পাস আলাদা রাখুন; password reuse বন্ধ করুন ।

✔️ MFA/SMS/OTP সাবধানতা

  • 2FA সক্রিয় রাখুন, কিন্তু ভারতে OTP/notification access এড়িয়ে চলুন বা সীমিত রাখুন ।


৭. আক্রান্ত হলে করণীয়

  1. তত্ক্ষণাত্ অ্যাপ আনইনস্টল করুন + device restart দিন।

  2. অ্যাকাউন্ট পাসওয়ার্ড পরিবর্তন করুন + 2FA সক্রিয় করুন।

  3. ব্রাউজার ও সিকিউরিটি সফটওয়্যারের scan-run করুন

  4. ব্যাংক/ক্রিপ্টো কাস্টমার কেয়ার জানান, সংক্ষিপ্ত লেনদেন অনুসন্ধান করুন।

  5. প্রয়োজনে ফ্যাক্টরি রিসেট করুন—ব্যাকআপ আগে নিশ্চিত করুন।


৮. ভবিষ্যতের ঝুঁকি ও সতর্কতা

  • ম্যালওয়্যার ক্রমবর্ধমান বেশি স্মার্ট হবে OCR ও deepfake প্রযুক্তি ব্যবহার করে ।

  • মোবাইল দিয়ে phishing আগামীর নতুন চ্যালেঞ্জ—অ্যাপ নয়, notification বা messagerelay–যুক্ত পদ্ধতি ।

  • ব্যবহারকারী শিক্ষা ও সংবেদনশীলতা উন্নয়ন অপরিহার্য।


🧩 উপসংহার

ম্যালওয়্যার এখন শুধু কম্পিউটার নয়—স্মার্টফোনই প্রাধান্য পেল। OTP, ই-মেইল, ছবি—সবই ঝুঁকির মুখে। সচেতন ব্যবহার, নিরাপদ ডাউনলোড অভ্যাস এবং শক্তিশালী সিকিউরিটি পদ্ধতি গ্রহণ করলে আমাদের তথ্য নিরাপদ রাখা সম্ভব।

একটি মন্তব্য পোস্ট করুন

নবীনতর পূর্বতন