XploitSpy mobiili pahavara
Uus Androidi pahavarakampaania nimega eXotic Visit on aktiivselt sihitud Lõuna-Aasia kasutajaid, eriti Indias ja Pakistanis. See kampaania on levitanud pahavara spetsiaalsete veebisaitide ja Google Play poe kaudu.
Teadlased on seda kampaaniat jälginud alates 2021. aasta novembrist ja pole leidnud seost ühegi teadaoleva ohus osaleja või grupiga. Nad on nimetanud selle taga oleva grupi Virtual Invaderiteks.
Nendest allikatest alla laaditud ähvardavad rakendused pakuvad seaduslikke funktsioone, kuid sisaldavad ka avatud lähtekoodiga Android XploitSPY RAT koodi. See kampaania näib olevat väga keskendunud, kuna Google Play rakendusi installitakse väga vähe, vahemikus nullist 45-ni. Uuringutulemuste tulemusena on need rakendused platvormilt eemaldatud.
Sisukord
Rünnakuoperatsioon kasutas ära arvukalt võltsrakendusi
Petlikud rakendused olid endiselt funktsionaalsed ja kujutasid endast peamiselt sõnumsideplatvorme, nagu Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ja Zaangi Chat. On teatatud, et umbes 380 inimest on langenud nende rakenduste allalaadimise ja kontode loomise ohvriks, kavatsedes neid sõnumite saatmiseks kasutada.
Lisaks kasutatakse kampaania eXotic Visit raames selliseid rakendusi nagu Sim Info ja Telco DB. Need rakendused väidavad, et pakuvad teavet SIM-kaardi omanike kohta, sisestades lihtsalt Pakistani-põhise telefoninumbri. Veelgi enam, teised rakendused teesklevad, et nad on Pakistanis toidu kohaletoimetamise teenus ja seaduslik India haigla, mida tuntakse erihaigla nime all (nüüd on ümber nimetatud Trilife Hospitaliks).
XploitSpy mobiili pahavaral on lai valik pealetükkivaid funktsioone
XploitSPY-l, mille kasutaja nimega RaoMK laadis GitHubisse juba 2020. aasta aprillis üles, on sidemed India küberturvalahenduste ettevõttega XploitWizer. See on tuvastatud kui teise avatud lähtekoodiga Androidi troojalase nimega L3MON tuletis, mis ise on inspireeritud AhMythist.
Sellel pahavaral on lai valik võimalusi, mis võimaldavad tal koguda tundlikke andmeid ohustatud seadmetest. See võib koguda GPS-i asukohti, salvestada mikrofonist heli, pääseda juurde kontaktidele, SMS-sõnumitele, kõnelogidele ja lõikelaua sisule. Samuti saab see hankida teavituste üksikasju populaarsetest rakendustest, nagu WhatsApp, Facebook, Instagram ja Gmail, samuti faile alla laadida ja üles laadida, installitud rakendusi vaadata ja järjekorda pandud käske täita.
Lisaks on kahjulikud rakendused programmeeritud pildistama ja loendama faile konkreetsetest kataloogidest, mis on seotud ekraanipiltidega, WhatsApp, WhatsApp Business, Telegram ja WhatsAppi modifitseeritud versioon, mida nimetatakse GBWhatsAppiks.
Ründajad pööravad suuremat rõhku vargusele
Aastate jooksul on need ohutegijad kohandanud oma kahjustavat koodi, lisades hägustamise, emulaatori tuvastamise, C2-aadresside peitmise ja omateegi kasutamise. Omateegi 'defcome-lib.so' põhieesmärk on hoida C2 serveriteavet kodeerituna ja staatilise analüüsi tööriistade eest varjatuna. Kui emulaator tuvastatakse, kasutab rakendus tuvastamisest kõrvalehoidmiseks võlts-C2-serverit.
Mõnda rakendust on levitatud spetsiaalselt selleks otstarbeks loodud veebisaitide „chitchat.ngrok.io” kaudu, mis annab lingi GitHubis hostitud Androidi paketifailile „ChitChat.apk”. Praegu pole selge, kuidas ohvreid nende rakenduste juurde suunatakse.
Teadlased väidavad, et levitamine algas spetsiaalsetel veebisaitidel ja seejärel kolis isegi ametlikku Google Play poodi. Kampaania eesmärk on spionaaž ja tõenäoliselt võetakse sihikule ohvrid Pakistanis ja Indias.
