بدافزار موبایل XploitSpy

یک کمپین بدافزار جدید اندروید با نام eXotic Visit به طور فعال کاربران جنوب آسیا، به ویژه در هند و پاکستان را هدف قرار داده است. این کمپین بدافزار را از طریق وب سایت های تخصصی و فروشگاه Google Play توزیع می کند.

محققان از نوامبر 2021 این کمپین را زیر نظر گرفته اند و هیچ ارتباطی با هیچ عامل یا گروه تهدید شناخته شده ای پیدا نکرده اند. آنها گروهی را که پشت آن قرار دارد به عنوان مهاجمان مجازی برچسب زده اند.

برنامه های تهدیدآمیز دانلود شده از این منابع، عملکرد قانونی را ارائه می دهند، اما همچنین حاوی کدهای منبع باز Android XploitSPY RAT هستند. این کمپین بسیار متمرکز به نظر می رسد، با نصب برنامه های کاربردی در Google Play بسیار کم، از صفر تا 45. در نتیجه یافته های تحقیق، این برنامه ها از پلتفرم حذف شده اند.

عملیات حمله از چندین برنامه جعلی بهره برداری کرد

برنامه های فریبنده هنوز هم کاربردی بودند و عمدتاً به عنوان پلتفرم های پیام رسانی مانند Alpha Chat، ChitChat، Defcom، Dink Messenger، Signal Lite، TalkU، WeTalk، Wicker Messenger و Zaangi Chat قرار داشتند. گزارش شده است که حدود 380 نفر قربانی دانلود این برنامه ها و ایجاد حساب کاربری شده اند و قصد دارند از آنها برای پیام رسانی استفاده کنند.

علاوه بر این، به عنوان بخشی از کمپین eXotic Visit، از برنامه هایی مانند Sim Info و Telco DB استفاده می شود. این برنامه ها ادعا می کنند که با وارد کردن یک شماره تلفن مستقر در پاکستان، اطلاعاتی در مورد دارندگان سیم کارت ارائه می دهند. علاوه بر این، برنامه های کاربردی دیگر وانمود می کنند که یک سرویس تحویل غذا در پاکستان و یک بیمارستان قانونی هندی است که به عنوان بیمارستان تخصصی شناخته می شود (که اکنون به عنوان بیمارستان Trilife تغییر نام داده شده است).

بدافزار موبایل XploitSpy دارای طیف گسترده ای از عملکردهای نفوذی است

XploitSPY که ابتدا در آوریل 2020 توسط کاربری به نام RaoMK در GitHub آپلود شد، با یک شرکت هندی راه حل های امنیت سایبری به نام XploitWizer ارتباط دارد. این تروجان منبع باز دیگری به نام L3MON است که خود از AhMyth الهام گرفته شده است.

این بدافزار دارای طیف گسترده ای از قابلیت ها است که به آن امکان می دهد داده های حساس را از دستگاه های در معرض خطر جمع آوری کند. می‌تواند مکان‌های GPS را جمع‌آوری کند، صدا را از میکروفون ضبط کند، به مخاطبین، پیام‌های SMS، گزارش تماس‌ها و محتویات کلیپ‌بورد دسترسی داشته باشد. همچنین می‌تواند جزئیات اعلان‌ها را از برنامه‌های محبوبی مانند واتس‌اپ، فیس‌بوک، اینستاگرام و جی‌میل استخراج کند، همچنین می‌تواند فایل‌ها را دانلود و آپلود کند، برنامه‌های نصب شده را مشاهده کند و دستورات در صف را اجرا کند.

علاوه بر این، برنامه‌های مضر برای گرفتن عکس و شمارش فایل‌ها از دایرکتوری‌های خاص مرتبط با اسکرین‌شات‌ها، واتس‌اپ، واتس‌اپ کسب‌وکار، تلگرام و نسخه اصلاح‌شده واتس‌اپ به نام GBWhatsApp برنامه‌ریزی شده‌اند.

مهاجمان تاکید بیشتری بر مخفی کاری نشان می دهند

در طول سال‌ها، این عوامل تهدید کدهای مخرب خود را با اضافه کردن مبهم‌سازی، شناسایی شبیه‌ساز، مخفی کردن آدرس‌های C2 و استفاده از یک کتابخانه بومی شخصی‌سازی کرده‌اند. هدف اصلی کتابخانه بومی 'defcome-lib.so' این است که اطلاعات سرور C2 را رمزگذاری و از ابزارهای تجزیه و تحلیل استاتیک پنهان نگه دارد. اگر شبیه ساز شناسایی شود، برنامه از سرور C2 جعلی برای فرار از تشخیص استفاده می کند.

برخی از برنامه‌ها از طریق وب‌سایت‌هایی که به‌طور خاص برای این منظور ایجاد شده‌اند، 'chitchat.ngrok.io' منتشر شده‌اند، که پیوندی به یک فایل بسته Android، 'ChitChat.apk' میزبانی شده در GitHub ارائه می‌دهد. در حال حاضر مشخص نیست که قربانیان چگونه به این برنامه ها هدایت می شوند.

محققان بیان می کنند که توزیع در وب سایت های اختصاصی شروع شد و سپس حتی به فروشگاه رسمی Google Play منتقل شد. هدف از این کمپین جاسوسی است و احتمالا قربانیان پاکستان و هند را هدف قرار خواهد داد.