XploitSpy Mobile Malware
En ny Android malware-kampagne, kaldet eXotic Visit, har været aktivt målrettet mod brugere i Sydasien, især i Indien og Pakistan. Denne kampagne har distribueret malware gennem specialiserede websteder og Google Play Butik.
Forskere har overvåget denne kampagne siden november 2021 og har ikke fundet nogen forbindelse til nogen kendt trusselsaktør eller gruppe. De har stemplet gruppen bag som Virtual Invaders.
De truende applikationer, der downloades fra disse kilder, tilbyder legitim funktionalitet, men indeholder også kode fra open source Android XploitSPY RAT. Denne kampagne virker meget fokuseret, hvor applikationerne på Google Play har meget få installationer, der spænder fra nul til 45. Som et resultat af forskningsresultaterne er disse applikationer blevet fjernet fra platformen.
Indholdsfortegnelse
Angrebsoperationen udnyttede adskillige falske ansøgninger
De vildledende applikationer var stadig funktionelle og udgjorde primært meddelelsesplatforme som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger og Zaangi Chat. Det er rapporteret, at omkring 380 personer er blevet ofre for at downloade disse applikationer og oprette konti, med det formål at bruge dem til beskeder.
Derudover, som en del af eXotic Visit-kampagnen, anvendes applikationer som Sim Info og Telco DB. Disse applikationer hævder at tilbyde information om SIM-kortejere ved blot at indtaste et Pakistan-baseret telefonnummer. Desuden foregiver andre applikationer at være en madleveringstjeneste i Pakistan og et legitimt indisk hospital kendt som Specialist Hospital (nu omdøbt til Trilife Hospital).
XploitSpy Mobile Malware besidder en bred vifte af påtrængende funktioner
XploitSPY, der oprindeligt blev uploadet til GitHub så tidligt som i april 2020 af en bruger ved navn RaoMK, har bånd til et indisk cybersikkerhedsløsningsfirma kaldet XploitWizer. Det er blevet identificeret som et derivat af en anden open-source Android-trojan kaldet L3MON, som selv er inspireret af AhMyth.
Denne malware kan prale af en bred vifte af muligheder, der gør den i stand til at indsamle følsomme data fra kompromitterede enheder. Det kan indsamle GPS-placeringer, optage lyd fra mikrofonen, få adgang til kontakter, SMS-beskeder, opkaldslogger og indhold fra udklipsholderen. Det er også i stand til at udtrække notifikationsdetaljer fra populære apps som WhatsApp, Facebook, Instagram og Gmail, samt downloade og uploade filer, se installerede applikationer og udføre kommandoer i kø.
Desuden er de skadelige applikationer programmeret til at tage billeder og opregne filer fra specifikke mapper forbundet med skærmbilleder, WhatsApp, WhatsApp Business, Telegram og en modificeret version af WhatsApp kendt som GBWhatsApp.
Angribere viser øget vægt på stealth
Gennem årene har disse trusselsaktører tilpasset deres skadelige kode ved at tilføje sløring, emulatordetektion, skjul af C2-adresser og brug af et indbygget bibliotek. Hovedformålet med det oprindelige bibliotek 'defcome-lib.so' er at holde C2-serverinformationen kodet og skjult fra statiske analyseværktøjer. Hvis der opdages en emulator, gør appen brug af en falsk C2-server for at undgå registrering.
Nogle af applikationerne er blevet spredt gennem websteder, der er specielt oprettet til dette formål, 'chitchat.ngrok.io', som giver et link til en Android-pakkefil, 'ChitChat.apk' hostet på GitHub. Det er på nuværende tidspunkt ikke klart, hvordan ofrene ledes til disse applikationer.
Forskere oplyser, at distributionen startede på dedikerede websteder og derefter endda flyttede til den officielle Google Play-butik. Formålet med kampagnen er spionage, og den vil formentlig være rettet mod ofre i Pakistan og Indien.
