البرامج الضارة للأجهزة المحمولة XploitSpy

تستهدف حملة جديدة من البرامج الضارة التي تعمل بنظام Android، والتي تسمى eXotic Visit، المستخدمين بشكل نشط في جنوب آسيا، وخاصة في الهند وباكستان. تقوم هذه الحملة بتوزيع البرامج الضارة عبر مواقع الويب المتخصصة ومتجر Google Play.

يراقب الباحثون هذه الحملة منذ نوفمبر 2021 ولم يجدوا أي صلة بأي جهة فاعلة أو مجموعة تهديد معروفة. لقد صنفوا المجموعة التي تقف وراءها على أنها Virtual Invaders.

توفر التطبيقات التهديدية التي تم تنزيلها من هذه المصادر وظائف مشروعة ولكنها تحتوي أيضًا على تعليمات برمجية من Android XploitSPY RAT مفتوح المصدر. تبدو هذه الحملة شديدة التركيز، حيث تحتوي التطبيقات الموجودة على Google Play على عدد قليل جدًا من عمليات التثبيت، تتراوح من صفر إلى 45. ونتيجة لنتائج البحث، تمت إزالة هذه التطبيقات من النظام الأساسي.

استغلت عملية الهجوم العديد من التطبيقات المزيفة

كانت التطبيقات الخادعة لا تزال تعمل وتم تقديمها في المقام الأول كمنصات للمراسلة مثل Alpha Chat وChitChat وDefcom وDink Messenger وSignal Lite وTalkU وWeTalk وWicker Messenger وZaangi Chat. وتشير التقارير إلى أن حوالي 380 شخصًا وقعوا ضحية تنزيل هذه التطبيقات وإنشاء حسابات بهدف استخدامها للمراسلة.

بالإضافة إلى ذلك، كجزء من حملة الزيارة eXotic، يتم استخدام تطبيقات مثل Sim Info وTelco DB. تدعي هذه التطبيقات أنها تقدم معلومات حول مالكي بطاقة SIM بمجرد إدخال رقم هاتف باكستاني. علاوة على ذلك، تتظاهر التطبيقات الأخرى بأنها خدمة توصيل طعام في باكستان ومستشفى هندي شرعي يُعرف باسم المستشفى التخصصي (أعيدت تسميته الآن باسم مستشفى Trilife).

تمتلك البرامج الضارة للأجهزة المحمولة XploitSpy مجموعة واسعة من الوظائف المتطفلة

تم تحميل XploitSPY في البداية على GitHub في وقت مبكر من أبريل 2020 بواسطة مستخدم يُدعى RaoMK، وله علاقات مع شركة هندية لحلول الأمن السيبراني تدعى XploitWizer. تم التعرف عليه على أنه مشتق من حصان طروادة آخر مفتوح المصدر يعمل بنظام Android يسمى L3MON، وهو مستوحى من AhMyth.

تتميز هذه البرامج الضارة بمجموعة واسعة من الإمكانات التي تمكنها من جمع البيانات الحساسة من الأجهزة المخترقة. يمكنه جمع مواقع GPS وتسجيل الصوت من الميكروفون والوصول إلى جهات الاتصال والرسائل النصية القصيرة وسجلات المكالمات ومحتويات الحافظة. كما أنه قادر على استخراج تفاصيل الإشعارات من التطبيقات الشائعة مثل WhatsApp وFacebook وInstagram وGmail، بالإضافة إلى تنزيل الملفات وتحميلها وعرض التطبيقات المثبتة وتنفيذ الأوامر في قائمة الانتظار.

علاوة على ذلك، تتم برمجة التطبيقات الضارة لالتقاط الصور وتعداد الملفات من أدلة محددة مرتبطة بلقطات الشاشة، وWhatsApp، وWhatsApp Business، وTelegram، ونسخة معدلة من WhatsApp تعرف باسم GBWhatsApp.

يُظهر المهاجمون تركيزًا متزايدًا على التخفي

على مر السنين، قامت الجهات الفاعلة في مجال التهديد بتخصيص التعليمات البرمجية الضارة الخاصة بها عن طريق إضافة التشويش واكتشاف المحاكي وإخفاء عناوين C2 واستخدام مكتبة أصلية. الغرض الرئيسي من المكتبة الأصلية "defcome-lib.so" هو الحفاظ على معلومات خادم C2 مشفرة وإخفائها من أدوات التحليل الثابتة. إذا تم اكتشاف محاكي، يستخدم التطبيق خادم C2 مزيفًا لتجنب الكشف.

تم نشر بعض التطبيقات من خلال مواقع الويب التي تم إنشاؤها خصيصًا لهذا الغرض، "chitchat.ngrok.io"، والذي يوفر رابطًا لملف حزمة Android، "ChitChat.apk" المستضاف على GitHub. ليس من الواضح حاليًا كيف يتم توجيه الضحايا إلى هذه التطبيقات.

يذكر الباحثون أن التوزيع بدأ على مواقع ويب مخصصة ثم انتقل إلى متجر Google Play الرسمي. والغرض من الحملة هو التجسس ومن المحتمل أن تستهدف ضحايا في باكستان والهند.