XploitSpy Mobile -haittaohjelma
Uusi Android-haittaohjelmakampanja, nimeltään eXotic Visit, on kohdistettu aktiivisesti käyttäjiin Etelä-Aasiassa, erityisesti Intiassa ja Pakistanissa. Tämä kampanja on levittänyt haittaohjelmia erikoistuneiden verkkosivustojen ja Google Play Kaupan kautta.
Tutkijat ovat seuranneet tätä kampanjaa marraskuusta 2021 lähtien, eivätkä ole löytäneet yhteyttä yhteenkään tunnettuun uhkatoimijaan tai ryhmään. He ovat nimenneet sen takana olevan ryhmän Virtual Invadersiksi.
Näistä lähteistä ladatut uhkaavat sovellukset tarjoavat laillisia toimintoja, mutta sisältävät myös koodia avoimen lähdekoodin Android XploitSPY RATista. Tämä kampanja vaikuttaa erittäin keskittyneeltä, sillä Google Playn sovelluksilla on hyvin vähän asennuksia, nollasta 45:een. Tutkimustulosten seurauksena nämä sovellukset on poistettu alustalta.
Sisällysluettelo
Hyökkäysoperaatio käytti hyväkseen lukuisia väärennettyjä sovelluksia
Harhaanjohtavat sovellukset olivat edelleen toimivia ja esiteltiin ensisijaisesti viestinvälitysalustoina, kuten Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ja Zaangi Chat. On raportoitu, että noin 380 henkilöä on joutunut näiden sovellusten lataamisen ja tilien luomisen uhriksi aikoen käyttää niitä viestien lähettämiseen.
Lisäksi osana eXotic Visit -kampanjaa hyödynnetään sovelluksia, kuten Sim Info ja Telco DB. Nämä sovellukset väittävät tarjoavansa tietoja SIM-kortin omistajista yksinkertaisesti syöttämällä Pakistanissa sijaitsevan puhelinnumeron. Lisäksi muut sovellukset teeskentelevät olevansa ruoan toimituspalvelu Pakistanissa ja laillinen intialainen sairaala, joka tunnetaan nimellä Specialist Hospital (nykyään Trilife Hospital).
XploitSpy Mobile -haittaohjelmalla on laaja valikoima häiritseviä toimintoja
XploitSPY, jonka RaoMK-niminen käyttäjä latasi GitHubiin alun perin huhtikuussa 2020, on sidoksissa intialaiseen kyberturvallisuusratkaisuyhtiöön nimeltä XploitWizer. Se on tunnistettu johdannaiseksi toisesta avoimen lähdekoodin Android-troijalaisesta nimeltä L3MON, joka itse on saanut inspiraationsa AhMythistä.
Tämä haittaohjelma tarjoaa laajan valikoiman ominaisuuksia, joiden avulla se voi kerätä arkaluonteisia tietoja vaarantuneista laitteista. Se voi kerätä GPS-sijainteja, tallentaa ääntä mikrofonista, käyttää yhteystietoja, tekstiviestejä, puhelulokeja ja leikepöydän sisältöä. Se pystyy myös poimimaan ilmoitustietoja suosituista sovelluksista, kuten WhatsApp, Facebook, Instagram ja Gmail, sekä lataamaan ja lähettämään tiedostoja, tarkastelemaan asennettuja sovelluksia ja suorittamaan jonossa olevia komentoja.
Lisäksi haitalliset sovellukset on ohjelmoitu ottamaan valokuvia ja luettelemaan tiedostoja tietyistä hakemistoista, jotka liittyvät kuvakaappauksiin, WhatsAppiin, WhatsApp Businessiin, Telegramiin ja WhatsAppin muokattuun versioon, joka tunnetaan nimellä GBWhatsApp.
Hyökkääjät painottavat enemmän varkautta
Nämä uhkatekijät ovat vuosien mittaan mukauttaneet vahingollista koodiaan lisäämällä hämärtämistä, emulaattorin havaitsemista, C2-osoitteiden piilottamista ja alkuperäisen kirjaston käyttöä. Natiivikirjaston 'defcome-lib.so' päätarkoitus on pitää C2-palvelimen tiedot koodattuina ja piilossa staattisilta analyysityökaluilta. Jos emulaattori havaitaan, sovellus käyttää väärennettyä C2-palvelinta välttääkseen havaitsemisen.
Jotkut sovelluksista on levitetty erityisesti tätä tarkoitusta varten luotujen verkkosivustojen "chitchat.ngrok.io" kautta, joka tarjoaa linkin Android-pakettitiedostoon "ChitChat.apk", jota isännöidään GitHubissa. Tällä hetkellä ei ole selvää, kuinka uhrit ohjataan näihin sovelluksiin.
Tutkijat väittävät, että jakelu alkoi omistetuilta verkkosivustoilta ja siirtyi sitten jopa viralliseen Google Play -kauppaan. Kampanjan tarkoituksena on vakoilu ja se kohdistuu todennäköisesti uhreihin Pakistanissa ja Intiassa.
