بدافزار موبایل XploitSpy
یک کمپین بدافزار جدید اندروید با نام eXotic Visit به طور فعال کاربران جنوب آسیا، به ویژه در هند و پاکستان را هدف قرار داده است. این کمپین بدافزار را از طریق وب سایت های تخصصی و فروشگاه Google Play توزیع می کند.
محققان از نوامبر 2021 این کمپین را زیر نظر گرفته اند و هیچ ارتباطی با هیچ عامل یا گروه تهدید شناخته شده ای پیدا نکرده اند. آنها گروهی را که پشت آن قرار دارد به عنوان مهاجمان مجازی برچسب زده اند.
برنامه های تهدیدآمیز دانلود شده از این منابع، عملکرد قانونی را ارائه می دهند، اما همچنین حاوی کدهای منبع باز Android XploitSPY RAT هستند. این کمپین بسیار متمرکز به نظر می رسد، با نصب برنامه های کاربردی در Google Play بسیار کم، از صفر تا 45. در نتیجه یافته های تحقیق، این برنامه ها از پلتفرم حذف شده اند.
فهرست مطالب
عملیات حمله از چندین برنامه جعلی بهره برداری کرد
برنامه های فریبنده هنوز هم کاربردی بودند و عمدتاً به عنوان پلتفرم های پیام رسانی مانند Alpha Chat، ChitChat، Defcom، Dink Messenger، Signal Lite، TalkU، WeTalk، Wicker Messenger و Zaangi Chat قرار داشتند. گزارش شده است که حدود 380 نفر قربانی دانلود این برنامه ها و ایجاد حساب کاربری شده اند و قصد دارند از آنها برای پیام رسانی استفاده کنند.
علاوه بر این، به عنوان بخشی از کمپین eXotic Visit، از برنامه هایی مانند Sim Info و Telco DB استفاده می شود. این برنامه ها ادعا می کنند که با وارد کردن یک شماره تلفن مستقر در پاکستان، اطلاعاتی در مورد دارندگان سیم کارت ارائه می دهند. علاوه بر این، برنامه های کاربردی دیگر وانمود می کنند که یک سرویس تحویل غذا در پاکستان و یک بیمارستان قانونی هندی است که به عنوان بیمارستان تخصصی شناخته می شود (که اکنون به عنوان بیمارستان Trilife تغییر نام داده شده است).
بدافزار موبایل XploitSpy دارای طیف گسترده ای از عملکردهای نفوذی است
XploitSPY که ابتدا در آوریل 2020 توسط کاربری به نام RaoMK در GitHub آپلود شد، با یک شرکت هندی راه حل های امنیت سایبری به نام XploitWizer ارتباط دارد. این تروجان منبع باز دیگری به نام L3MON است که خود از AhMyth الهام گرفته شده است.
این بدافزار دارای طیف گسترده ای از قابلیت ها است که به آن امکان می دهد داده های حساس را از دستگاه های در معرض خطر جمع آوری کند. میتواند مکانهای GPS را جمعآوری کند، صدا را از میکروفون ضبط کند، به مخاطبین، پیامهای SMS، گزارش تماسها و محتویات کلیپبورد دسترسی داشته باشد. همچنین میتواند جزئیات اعلانها را از برنامههای محبوبی مانند واتساپ، فیسبوک، اینستاگرام و جیمیل استخراج کند، همچنین میتواند فایلها را دانلود و آپلود کند، برنامههای نصب شده را مشاهده کند و دستورات در صف را اجرا کند.
علاوه بر این، برنامههای مضر برای گرفتن عکس و شمارش فایلها از دایرکتوریهای خاص مرتبط با اسکرینشاتها، واتساپ، واتساپ کسبوکار، تلگرام و نسخه اصلاحشده واتساپ به نام GBWhatsApp برنامهریزی شدهاند.
مهاجمان تاکید بیشتری بر مخفی کاری نشان می دهند
در طول سالها، این عوامل تهدید کدهای مخرب خود را با اضافه کردن مبهمسازی، شناسایی شبیهساز، مخفی کردن آدرسهای C2 و استفاده از یک کتابخانه بومی شخصیسازی کردهاند. هدف اصلی کتابخانه بومی 'defcome-lib.so' این است که اطلاعات سرور C2 را رمزگذاری و از ابزارهای تجزیه و تحلیل استاتیک پنهان نگه دارد. اگر شبیه ساز شناسایی شود، برنامه از سرور C2 جعلی برای فرار از تشخیص استفاده می کند.
برخی از برنامهها از طریق وبسایتهایی که بهطور خاص برای این منظور ایجاد شدهاند، 'chitchat.ngrok.io' منتشر شدهاند، که پیوندی به یک فایل بسته Android، 'ChitChat.apk' میزبانی شده در GitHub ارائه میدهد. در حال حاضر مشخص نیست که قربانیان چگونه به این برنامه ها هدایت می شوند.
محققان بیان می کنند که توزیع در وب سایت های اختصاصی شروع شد و سپس حتی به فروشگاه رسمی Google Play منتقل شد. هدف از این کمپین جاسوسی است و احتمالا قربانیان پاکستان و هند را هدف قرار خواهد داد.