‘गैस अपडेट’ से बैंक खाली होने तक: कैसे खुला APK स्कैम नेटवर्क का राज
दिल्ली और झारखंड से छह गिरफ्तार; मुंबई में 93 मामले दर्ज
मुंबई पुलिस ने दिल्ली और झारखंड में छापेमारी कर छह लोगों को गिरफ्तार किया है। इस कार्रवाई ने एक ऐसे डिजिटल फ्रॉड गिरोह का पर्दाफाश किया है, जो 3,000 से अधिक मामलों और 43 करोड़ रुपये की धोखाधड़ी से जुड़ा है।
यह डिजिटल जाल एक साधारण लेकिन जरूरी दिखने वाले मैसेज से बुना गया था: महानगर गैस की ओर से एक फर्जी नोटिस, जिसमें चेतावनी दी गई थी कि बिलिंग विवरण अपडेट न करने पर कनेक्शन काट दिया जाएगा। मुंबई के एक निवासी ने इस पर भरोसा किया, दी गई APK फाइल डाउनलोड की और अपना अकाउंट 'वेरिफाई' करने के लिए 10 रुपये का भुगतान किया। कुछ ही पलों में, मैलवेयर ने उसके फोन की सुरक्षा को दरकिनार कर दिया, चुपके से बैंकिंग क्रेडेंशियल्स चुरा लिए और 2.35 लाख रुपये उड़ा दिए। यह घटना, जो अब अकेले मुंबई में दर्ज 93 मामलों में से एक है, उस धागे के समान साबित हुई जिसने जांचकर्ताओं को एक बड़े अंतरराज्यीय सिंडिकेट तक पहुंचा दिया।
डिजिटल डोजियर का दायरा
गूगल फायरबेस (Google Firebase) और होस्टिंगर (Hostinger) जैसे प्लेटफॉर्म पर होस्ट किए गए सर्वरों के गहन फॉरेंसिक विश्लेषण के बाद, मुंबई साइबर क्राइम ब्रांच ने समझौता किए गए डेटा का एक चौंकाने वाला भंडार उजागर किया। यह ऑपरेशन केवल व्यक्तिगत चोरी तक सीमित नहीं था; यह वित्तीय पहचानों की थोक में लूट थी। जांचकर्ताओं को 1.24 करोड़ इंटरसेप्ट किए गए एसएमएस रिकॉर्ड मिले, जिनमें ओटीपी और बैंकिंग अलर्ट शामिल थे। इसके साथ ही एक डेटाबेस भी मिला जिसमें देश भर के 8,609 पीड़ितों की संवेदनशील जानकारी—जैसे पिन, सीवीवी, यूपीआई आईडी और अकाउंट नंबर—मौजूद थी।
पुलिस को 111 अलग-अलग फर्जी APK फाइलें मिलीं, जिन्हें रीजनल ट्रांसपोर्ट ऑफिस (RTO), विभिन्न बैंकों और यूटिलिटी प्रदाताओं के नाम पर बनाया गया था। ये ऐप्स 'ओवरले' के रूप में काम करते थे, जो वैध बैंकिंग इंटरफेस के ऊपर चुपचाप बैठकर यूजर की गतिविधियों को रियल-टाइम में कैप्चर कर लेते थे। जब तक पीड़ित को पैसे कटने का एसएमएस अलर्ट मिलता, तब तक फंड कई यूपीआई हॉप्स के जरिए झारखंड के दूरदराज इलाकों में स्थित 'म्यूल' (mule) खातों में ट्रांसफर हो चुका होता था।
साइबर अपराध का बढ़ता हॉटस्पॉट
यह जांच एक चिंताजनक प्रवृत्ति को उजागर करती है, जहां तकनीकी विशेषज्ञता और क्षेत्रीय गुमनामी का मिलन हो रहा है। हालांकि दिल्ली और झारखंड से गिरफ्तार किए गए छह संदिग्ध गंभीर आरोपों का सामना कर रहे हैं, लेकिन वे साइबर अपराध की एक बड़ी, विकेंद्रीकृत अर्थव्यवस्था का केवल एक हिस्सा हैं। अलग-अलग लेकिन संबंधित अभियानों में, दिल्ली पुलिस ने इन 'फुली अनडिटेक्टेड' (FUD) रिमोट-एक्सेस टूल्स के मास्टरमाइंड्स को भी पकड़ा है, जिसमें जामताड़ा का एक 26 वर्षीय डेवलपर भी शामिल है, जो कथित तौर पर अन्य अपराधियों को 15,000 रुपये प्रति फाइल के हिसाब से कस्टमाइज्ड मैलिशियस APK बेच रहा था।
यह क्यों मायने रखता है: बड़ी तस्वीर
यह कार्रवाई भारत में वित्तीय धोखाधड़ी के तौर-तरीकों में आए एक बड़े बदलाव को दर्शाती है। साइबर अपराधी अब साधारण फिशिंग कॉल से आगे बढ़कर 'इंफ्रास्ट्रक्चर-एज़-ए-सर्विस' मॉडल अपना रहे हैं, जहां तकनीकी डेवलपर्स टूल बनाते हैं और छोटे ऑपरेटर्स उन्हें फैलाते हैं। एंड्रॉइड पैकेज किट्स (APKs) पर निर्भरता स्कैमर्स को गूगल प्ले स्टोर के सख्त सुरक्षा फिल्टर को बायपास करने की अनुमति देती है। वे सोशल इंजीनियरिंग का सहारा लेकर यूजर्स को 'एक्सेसिबिलिटी परमिशन' देने के लिए बरगलाते हैं, जिससे डिवाइस का पूरा कंट्रोल उनके हाथ में आ जाता है। आम उपभोक्ता के लिए सबक साफ है: व्हाट्सएप या एसएमएस के जरिए मिला कोई भी लिंक या ऐप इंस्टॉलेशन प्रॉम्प्ट, चाहे वह कितना भी आधिकारिक क्यों न लगे, पूरी तरह से वित्तीय बर्बादी का जरिया हो सकता है।
रोहन गुप्ता पॉलिटिकलपीडिया के लिए अर्थव्यवस्था, बाज़ार और कंपनियों को कवर करते हैं।