XploitSpy Mobile Malware
Нова кампания за злонамерен софтуер за Android, наречена eXotic Visit, е активно насочена към потребители в Южна Азия, особено в Индия и Пакистан. Тази кампания разпространява зловреден софтуер чрез специализирани уебсайтове и Google Play Store.
Изследователите наблюдават тази кампания от ноември 2021 г. и не са открили връзка с известен актьор или група за заплаха. Те са етикетирали групата зад него като Virtual Invaders.
Заплашващите приложения, изтеглени от тези източници, предлагат легитимна функционалност, но също така съдържат код от Android XploitSPY RAT с отворен код. Тази кампания изглежда силно фокусирана, като приложенията в Google Play имат много малко инсталации, вариращи от нула до 45. В резултат на резултатите от изследването тези приложения са премахнати от платформата.
Съдържание
Операцията за атака използва множество фалшиви приложения
Измамните приложения все още функционират и се представят основно като платформи за съобщения като Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger и Zaangi Chat. Съобщава се, че около 380 души са станали жертва на изтеглянето на тези приложения и създаването на акаунти, възнамеряващи да ги използват за съобщения.
Освен това, като част от кампанията eXotic Visit, се използват приложения като Sim Info и Telco DB. Тези приложения твърдят, че предлагат информация за собствениците на SIM карти чрез просто въвеждане на базиран в Пакистан телефонен номер. Освен това други приложения се представят за услуга за доставка на храна в Пакистан и легитимна индийска болница, известна като специализирана болница (сега преименувана като Trilife Hospital).
XploitSpy Mobile Malware притежава широка гама от натрапчиви функции
XploitSPY, първоначално качен в GitHub още през април 2020 г. от потребител на име RaoMK, има връзки с индийска компания за решения за киберсигурност, наречена XploitWizer. Той е идентифициран като производно на друг Android троян с отворен код, наречен L3MON, който сам по себе си е вдъхновен от AhMyth.
Този зловреден софтуер може да се похвали с широка гама от възможности, позволяващи му да събира чувствителни данни от компрометирани устройства. Той може да събира GPS местоположения, да записва аудио от микрофона, да осъществява достъп до контакти, SMS съобщения, регистър на обажданията и съдържанието на клипборда. Той също така може да извлича подробности за известия от популярни приложения като WhatsApp, Facebook, Instagram и Gmail, както и да изтегля и качва файлове, да преглежда инсталирани приложения и да изпълнява команди на опашка.
Освен това, вредните приложения са програмирани да правят снимки и да изброяват файлове от специфични директории, свързани със скрийншотове, WhatsApp, WhatsApp Business, Telegram и модифицирана версия на WhatsApp, известна като GBWhatsApp.
Нападателите показват повишен акцент върху стелт
През годините тези заплахи са персонализирали своя увреждащ код чрез добавяне на обфускация, откриване на емулатор, скриване на C2 адреси и използване на собствена библиотека. Основната цел на собствената библиотека „defcome-lib.so“ е да запази информацията на C2 сървъра кодирана и скрита от инструментите за статичен анализ. Ако бъде открит емулатор, приложението използва фалшив C2 сървър, за да избегне откриването.
Някои от приложенията са разпространени чрез уебсайтове, специално създадени за тази цел, „chitchat.ngrok.io“, който предоставя връзка към пакетен файл на Android, „ChitChat.apk“, хостван в GitHub. В момента не е ясно как жертвите се насочват към тези приложения.
Изследователите твърдят, че разпространението е започнало на специални уебсайтове и след това дори се е преместило в официалния магазин на Google Play. Целта на кампанията е шпионаж и вероятно ще се насочи към жертви в Пакистан и Индия.
