Programari maliciós mòbil XploitSpy
Una nova campanya de programari maliciós per a Android, anomenada eXotic Visit, s'ha orientat activament als usuaris del sud d'Àsia, especialment a l'Índia i el Pakistan. Aquesta campanya ha estat distribuint programari maliciós a través de llocs web especialitzats i de Google Play Store.
Els investigadors han estat supervisant aquesta campanya des del novembre de 2021 i no han trobat cap connexió amb cap actor o grup d'amenaça conegut. Han etiquetat el grup que hi ha darrere com a Virtual Invaders.
Les aplicacions amenaçadores descarregades d'aquestes fonts ofereixen una funcionalitat legítima, però també contenen codi del codi obert Android XploitSPY RAT. Aquesta campanya sembla molt centrada, amb les aplicacions de Google Play amb molt poques instal·lacions, que van de zero a 45. Com a resultat de les conclusions de la investigació, aquestes aplicacions s'han eliminat de la plataforma.
Taula de continguts
L’operació d’atac va explotar nombroses aplicacions falses
Les aplicacions enganyoses encara eren funcionals i es plantejaven principalment com a plataformes de missatgeria com Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger i Zaangi Chat. S'informa que unes 380 persones han estat víctimes de descarregar aquestes aplicacions i crear comptes, amb la intenció d'utilitzar-les per a la missatgeria.
A més, com a part de la campanya eXotic Visit, s'utilitzen aplicacions com Sim Info i Telco DB. Aquestes aplicacions afirmen oferir informació sobre els propietaris de la targeta SIM simplement introduint un número de telèfon amb seu a Pakistan. A més, altres aplicacions pretenen ser un servei de lliurament d'aliments al Pakistan i un hospital indi legítim conegut com Specialist Hospital (ara rebatejat com a Trilife Hospital).
El programari maliciós mòbil XploitSpy posseeix una àmplia gamma de funcions intrusives
XploitSPY, penjat inicialment a GitHub l'abril de 2020 per un usuari anomenat RaoMK, té vincles amb una empresa índia de solucions de ciberseguretat anomenada XploitWizer. S'ha identificat com un derivat d'un altre troià d'Android de codi obert anomenat L3MON, que està inspirat en AhMyth.
Aquest programari maliciós compta amb una àmplia gamma de capacitats que li permeten recollir dades sensibles de dispositius compromesos. Pot recopilar ubicacions GPS, gravar àudio des del micròfon, accedir a contactes, missatges SMS, registres de trucades i continguts del porta-retalls. També és capaç d'extreure detalls de notificacions d'aplicacions populars com WhatsApp, Facebook, Instagram i Gmail, així com descarregar i carregar fitxers, veure aplicacions instal·lades i executar ordres en cua.
A més, les aplicacions nocives estan programades per fer fotos i enumerar fitxers de directoris específics associats a captures de pantalla, WhatsApp, WhatsApp Business, Telegram i una versió modificada de WhatsApp coneguda com GBWhatsApp.
Els atacants mostren més èmfasi en el sigil
Al llarg dels anys, aquests actors d'amenaça han personalitzat el seu codi perjudicial afegint ofuscació, detecció d'emuladors, ocultació d'adreces C2 i ús d'una biblioteca nativa. L'objectiu principal de la biblioteca nativa 'defcome-lib.so' és mantenir la informació del servidor C2 codificada i oculta de les eines d'anàlisi estàtica. Si es detecta un emulador, l'aplicació fa ús d'un servidor C2 fals per evitar la detecció.
Algunes de les aplicacions s'han propagat a través de llocs web creats específicament per a aquest propòsit, 'chitchat.ngrok.io', que proporciona un enllaç a un fitxer de paquet d'Android, 'ChitChat.apk' allotjat a GitHub. Actualment no està clar com es dirigeixen les víctimes a aquestes aplicacions.
Els investigadors afirmen que la distribució va començar a llocs web dedicats i fins i tot es va traslladar a la botiga oficial de Google Play. L'objectiu de la campanya és l'espionatge i probablement s'apuntarà a víctimes al Pakistan i l'Índia.
