होम
इंटरनेट
ख़बरें
UPI यूजर्स के लिए नया खतरा, ‘Digital Lutera’ से अकाउंट हाईजैक का दावा

UPI यूजर्स के लिए नया खतरा, ‘Digital Lutera’ से अकाउंट हाईजैक का दावा

CloudSEK की रिपोर्ट में “Digital Lutera” नाम के Android टूलकिट का खुलासा हुआ है, जो कथित तौर पर UPI सिक्योरिटी सिस्टम को बायपास कर अकाउंट तक पहुंच बना सकता है।

Written by नितेश पपनोई, अपडेटेड: 11 मार्च 2026 16:14 IST

UPI यूजर्स के लिए नया खतरा, ‘Digital Lutera’ से अकाउंट हाईजैक का दावा

Photo Credit: CloudSEK

ख़ास बातें

CloudSEK रिपोर्ट में Digital Lutera Android टूलकिट का खुलासा
टूलकिट कथित तौर पर UPI SIM बाइंडिंग सिस्टम को प्रभावित कर सकता
SMS इंटरसेप्शन और पहचान स्पूफिंग जैसी तकनीक इस्तेमाल होने का दावा

भारत में डिजिटल पेमेंट सिस्टम खासकर UPI तेजी से बढ़ा है, लेकिन इसके साथ साइबर फ्रॉड के नए तरीके भी सामने आ रहे हैं। हाल ही में साइबर सिक्योरिटी फर्म CloudSEK की एक रिपोर्ट में एक नए Android टूलकिट का खुलासा हुआ है, जिसे “Digital Lutera” नाम दिया गया है। रिपोर्ट के मुताबिक यह टूलकिट Android सिस्टम के अंदर छिपकर काम करता है और बिना किसी बदलाव के असली पेमेंट ऐप्स को ही निशाना बना सकता है। इसके जरिए हमलावर कथित तौर पर UPI से जुड़े सुरक्षा मैकेनिज्म को बायपास कर सकते हैं और यूजर के अकाउंट तक पहुंच बना सकते हैं।

CloudSEK की रिपोर्ट के अनुसार यह हमला पुराने तरीकों से अलग है। पहले साइबर अपराधी पेमेंट ऐप के नकली या मॉडिफाइड वर्जन बनाकर लोगों को धोखा देते थे। लेकिन इस नए हमले में Android के रनटाइम सिस्टम को ही मैनीपुलेट किया जाता है। इसके लिए LSPosed नाम के फ्रेमवर्क का इस्तेमाल किया जाता है, जिससे हमलावर बिना ऐप को बदले ही उसके व्यवहार को प्रभावित कर सकते हैं। इसी वजह से पेमेंट ऐप की डिजिटल सिग्नेचर वैलिड रहती है और कई सिक्योरिटी सिस्टम इस हमले को पहचान नहीं पाते।

रिपोर्ट में कहा गया है कि इस टूलकिट का मुख्य निशाना UPI का SIM binding सिस्टम है। सामान्य तौर पर UPI ऐप किसी फोन नंबर और SIM से लिंक होकर काम करता है, जिससे अकाउंट की पहचान सुनिश्चित होती है। लेकिन Digital Lutera कथित तौर पर Android के कुछ सिस्टम API को हुक करके इस प्रक्रिया में दखल दे सकता है। इसके जरिए हमलावर फोन नंबर जैसी पहचान को स्पूफ कर सकते हैं और रजिस्ट्रेशन टोकन या दूसरे जरूरी डेटा को इंटरसेप्ट कर सकते हैं।

रिपोर्ट में यह भी बताया गया है कि इस तकनीक के जरिए OTP और दो-स्तरीय ऑथेंटिकेशन से जुड़ा डेटा भी चोरी किया जा सकता है। कथित तौर पर यह टूलकिट SMS मैसेज से जुड़े सिस्टम को कंट्रोल कर सकता है और जरूरत पड़ने पर डिवाइस के “Sent SMS” रिकॉर्ड में नकली मैसेज भी जोड़ सकता है। इसके अलावा हमलावर रियल टाइम में डिवाइस को कमांड भेजकर सिस्टम में बदलाव कर सकते हैं।

CloudSEK के मुताबिक इस हमले में रियल टाइम कमांड एंड कंट्रोल सिस्टम का इस्तेमाल किया जाता है। हमलावर इंटरनेट के जरिए डिवाइस से कनेक्ट रहते हैं और जरूरत पड़ने पर तुरंत निर्देश भेज सकते हैं। रिपोर्ट में कहा गया है कि कुछ मामलों में चोरी किया गया डेटा Telegram जैसे प्लेटफॉर्म पर भी भेजा जा सकता है, जिससे अपराधियों को अकाउंट एक्सेस करना आसान हो जाता है।

साइबर सिक्योरिटी एक्सपर्ट्स का कहना है कि इस तरह के हमले मोबाइल फाइनेंशियल फ्रॉड के नए दौर की ओर इशारा करते हैं। CloudSEK का कहना है कि बैंकों और पेमेंट कंपनियों को अब सिर्फ ऐप सिक्योरिटी पर नहीं बल्कि डिवाइस इंटीग्रिटी और नेटवर्क लेवल वेरिफिकेशन पर भी ज्यादा ध्यान देना होगा।

हालांकि रिपोर्ट में यह भी कहा गया है कि आम यूजर्स को अनजान ऐप डाउनलोड करने से बचना चाहिए, सिस्टम में अनऑफिशियल मॉड्यूल इंस्टॉल नहीं करने चाहिए और फोन के सिक्योरिटी अपडेट समय पर इंस्टॉल करने चाहिए, ताकि ऐसे खतरों से बचाव किया जा सके।

Comments

लेटेस्ट टेक न्यूज़, स्मार्टफोन रिव्यू और लोकप्रिय मोबाइल पर मिलने वाले एक्सक्लूसिव ऑफर के लिए गैजेट्स 360 एंड्रॉयड ऐप डाउनलोड करें और हमें गूगल समाचार पर फॉलो करें।

ये भी पढ़े: Digital Lutera, UPI Fraud, Android Security, Cybersecurity, CloudSEK Report, Online Payment Security, Tech News

नितेश पपनोई नितेश को ईमेल करें Nitesh has almost seven years of experience in news writing and reviewing tech products like smartphones, headphones, and smartwatches. At Gadgets 360, he is covering all ...और भी