XploitSpy Mobile Malware
Nová kampaň proti malwaru pro Android s názvem eXotic Visit se aktivně zaměřuje na uživatele v jižní Asii, zejména v Indii a Pákistánu. Tato kampaň šíří malware prostřednictvím specializovaných webových stránek a obchodu Google Play.
Výzkumníci sledovali tuto kampaň od listopadu 2021 a nenašli žádné spojení s žádným známým aktérem hrozby nebo skupinou. Skupinu za tím označili jako Virtual Invaders.
Hrozivé aplikace stažené z těchto zdrojů nabízejí legitimní funkce, ale také obsahují kód z open source Android XploitSPY RAT. Tato kampaň se zdá být vysoce cílená, aplikace na Google Play mají velmi málo instalací, v rozmezí od nuly do 45. V důsledku zjištění výzkumu byly tyto aplikace z platformy odstraněny.
Obsah
Útočná operace využívala mnoho falešných aplikací
Klamné aplikace byly stále funkční a primárně představovaly platformy pro zasílání zpráv, jako jsou Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger a Zaangi Chat. Uvádí se, že kolem 380 jednotlivců se stalo obětí stahování těchto aplikací a vytváření účtů s úmyslem je použít pro zasílání zpráv.
Kromě toho jsou v rámci kampaně eXotic Visit využívány aplikace jako Sim Info a Telco DB. Tyto aplikace tvrdí, že nabízejí informace o majitelích SIM karet pouhým zadáním telefonního čísla z Pákistánu. Jiné aplikace navíc předstírají, že jsou doručovací službou v Pákistánu a legitimní indickou nemocnicí známou jako Specialist Hospital (nyní přejmenovanou na Trilife Hospital).
XploitSpy Mobile Malware má širokou škálu rušivých funkcí
XploitSPY, původně nahraný na GitHub již v dubnu 2020 uživatelem jménem RaoMK, má vazby na indickou společnost zabývající se řešením kybernetické bezpečnosti s názvem XploitWizer. Byl identifikován jako derivát jiného open-source trojan Android s názvem L3MON, který je sám inspirován AhMyth.
Tento malware se může pochlubit širokou škálou funkcí, které mu umožňují shromažďovat citlivá data z napadených zařízení. Dokáže sbírat GPS polohy, nahrávat zvuk z mikrofonu, přistupovat ke kontaktům, SMS zprávám, protokolům hovorů a obsahu schránky. Je také schopen extrahovat podrobnosti oznámení z oblíbených aplikací, jako je WhatsApp, Facebook, Instagram a Gmail, a také stahovat a nahrávat soubory, prohlížet nainstalované aplikace a provádět příkazy ve frontě.
Kromě toho jsou škodlivé aplikace naprogramovány tak, aby pořizovaly fotografie a vyjmenovávaly soubory z konkrétních adresářů spojených se snímky obrazovky, WhatsApp, WhatsApp Business, Telegram a upravená verze WhatsApp známá jako GBWhatsApp.
Útočníci kladou zvýšený důraz na utajení
V průběhu let si tito aktéři hrozeb přizpůsobili svůj škodlivý kód přidáním zmatku, detekce emulátoru, skrytí adres C2 a použití nativní knihovny. Hlavním účelem nativní knihovny 'defcome-lib.so' je zachovat informace o serveru C2 zakódované a skryté před nástroji statické analýzy. Pokud je detekován emulátor, aplikace využívá falešný server C2, aby se vyhnula detekci.
Některé z aplikací byly propagovány prostřednictvím webových stránek speciálně vytvořených pro tento účel, 'chitchat.ngrok.io', které poskytují odkaz na soubor balíčku pro Android, 'ChitChat.apk' hostovaný na GitHubu. V současné době není jasné, jak jsou oběti směrovány k těmto aplikacím.
Výzkumníci uvádějí, že distribuce začala na vyhrazených webových stránkách a poté se dokonce přesunula do oficiálního obchodu Google Play. Účelem kampaně je špionáž a pravděpodobně se zaměří na oběti v Pákistánu a Indii.