Κακόβουλο λογισμικό XploitSpy Mobile
Μια νέα καμπάνια κακόβουλου λογισμικού Android, που ονομάζεται eXotic Visit, στοχεύει ενεργά χρήστες στη Νότια Ασία, ιδιαίτερα στην Ινδία και το Πακιστάν. Αυτή η καμπάνια διανέμει κακόβουλο λογισμικό μέσω εξειδικευμένων ιστότοπων και του Google Play Store.
Οι ερευνητές παρακολουθούν αυτήν την εκστρατεία από τον Νοέμβριο του 2021 και δεν έχουν βρει καμία σχέση με κάποιον γνωστό παράγοντα ή ομάδα απειλής. Έχουν χαρακτηρίσει την ομάδα πίσω από αυτό ως Virtual Invaders.
Οι απειλητικές εφαρμογές που λαμβάνονται από αυτές τις πηγές προσφέρουν νόμιμη λειτουργικότητα, αλλά περιέχουν επίσης κώδικα από το ανοιχτού κώδικα Android XploitSPY RAT. Αυτή η καμπάνια φαίνεται ιδιαίτερα εστιασμένη, με τις εφαρμογές στο Google Play να έχουν πολύ λίγες εγκαταστάσεις, που κυμαίνονται από μηδέν έως 45. Ως αποτέλεσμα των ευρημάτων της έρευνας, αυτές οι εφαρμογές έχουν αφαιρεθεί από την πλατφόρμα.
Πίνακας περιεχομένων
Η επιχείρηση επίθεσης εκμεταλλεύτηκε πολυάριθμες ψεύτικες εφαρμογές
Οι παραπλανητικές εφαρμογές εξακολουθούσαν να λειτουργούν και κατά κύριο λόγο παρουσιάζονταν ως πλατφόρμες ανταλλαγής μηνυμάτων όπως οι Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger και Zaangi Chat. Έχει αναφερθεί ότι περίπου 380 άτομα έχουν πέσει θύματα λήψης αυτών των εφαρμογών και δημιουργίας λογαριασμών, με σκοπό να τις χρησιμοποιήσουν για ανταλλαγή μηνυμάτων.
Επιπλέον, ως μέρος της καμπάνιας eXotic Visit, χρησιμοποιούνται εφαρμογές όπως το Sim Info και το Telco DB. Αυτές οι εφαρμογές ισχυρίζονται ότι προσφέρουν πληροφορίες σχετικά με τους κατόχους καρτών SIM εισάγοντας απλώς έναν αριθμό τηλεφώνου με έδρα το Πακιστάν. Επιπλέον, άλλες εφαρμογές προσποιούνται ότι είναι μια υπηρεσία παράδοσης φαγητού στο Πακιστάν και ένα νόμιμο ινδικό νοσοκομείο γνωστό ως Specialist Hospital (τώρα μετονομάζεται ως Trilife Hospital).
Το κακόβουλο λογισμικό XploitSpy Mobile διαθέτει ένα ευρύ φάσμα παρεμβατικών λειτουργιών
Το XploitSPY, το οποίο ανέβηκε αρχικά στο GitHub τον Απρίλιο του 2020 από έναν χρήστη με το όνομα RaoMK, έχει δεσμούς με μια ινδική εταιρεία λύσεων κυβερνοασφάλειας που ονομάζεται XploitWizer. Έχει αναγνωριστεί ως παράγωγο ενός άλλου trojan Android ανοιχτού κώδικα που ονομάζεται L3MON, το οποίο είναι εμπνευσμένο από το AhMyth.
Αυτό το κακόβουλο λογισμικό διαθέτει ένα ευρύ φάσμα δυνατοτήτων που του επιτρέπουν να συλλέγει ευαίσθητα δεδομένα από παραβιασμένες συσκευές. Μπορεί να συγκεντρώσει τοποθεσίες GPS, να εγγράψει ήχο από το μικρόφωνο, να αποκτήσει πρόσβαση σε επαφές, μηνύματα SMS, αρχεία καταγραφής κλήσεων και περιεχόμενα του προχείρου. Είναι επίσης σε θέση να εξάγει λεπτομέρειες ειδοποιήσεων από δημοφιλείς εφαρμογές όπως το WhatsApp, το Facebook, το Instagram και το Gmail, καθώς και τη λήψη και τη μεταφόρτωση αρχείων, την προβολή εγκατεστημένων εφαρμογών και την εκτέλεση εντολών στην ουρά.
Επιπλέον, οι επιβλαβείς εφαρμογές είναι προγραμματισμένες να λαμβάνουν φωτογραφίες και να απαριθμούν αρχεία από συγκεκριμένους καταλόγους που σχετίζονται με στιγμιότυπα οθόνης, WhatsApp, WhatsApp Business, Telegram και μια τροποποιημένη έκδοση του WhatsApp, γνωστή ως GBWhatsApp.
Οι επιτιθέμενοι δείχνουν αυξημένη έμφαση στο Stealth
Κατά τη διάρκεια των ετών, αυτοί οι παράγοντες απειλών έχουν προσαρμόσει τον επιβλαβή κώδικα τους προσθέτοντας συσκότιση, ανίχνευση εξομοιωτή, απόκρυψη διευθύνσεων C2 και χρήση μιας εγγενούς βιβλιοθήκης. Ο κύριος σκοπός της εγγενούς βιβλιοθήκης 'defcome-lib.so' είναι να διατηρεί τις πληροφορίες διακομιστή C2 κωδικοποιημένες και κρυμμένες από εργαλεία στατικής ανάλυσης. Εάν εντοπιστεί εξομοιωτής, η εφαρμογή χρησιμοποιεί έναν ψεύτικο διακομιστή C2 για να αποφύγει τον εντοπισμό.
Ορισμένες από τις εφαρμογές έχουν διαδοθεί μέσω ιστοτόπων που έχουν δημιουργηθεί ειδικά για αυτόν τον σκοπό, το «chitchat.ngrok.io», το οποίο παρέχει έναν σύνδεσμο προς ένα αρχείο πακέτου Android, το «ChitChat.apk» που φιλοξενείται στο GitHub. Προς το παρόν δεν είναι σαφές πώς κατευθύνονται τα θύματα σε αυτές τις εφαρμογές.
Οι ερευνητές αναφέρουν ότι η διανομή ξεκίνησε σε αποκλειστικούς ιστότοπους και στη συνέχεια μεταφέρθηκε ακόμη και στο επίσημο κατάστημα Google Play. Ο σκοπός της εκστρατείας είναι η κατασκοπεία και πιθανότατα θα στοχεύσει θύματα στο Πακιστάν και την Ινδία.
