תוכנה זדונית ניידת XploitSpy
מסע פרסום חדש של תוכנות זדוניות אנדרואיד, בשם eXotic Visit, פנה באופן פעיל למשתמשים בדרום אסיה, במיוחד בהודו ופקיסטן. מסע פרסום זה הפיץ תוכנות זדוניות דרך אתרים מיוחדים וחנות Google Play.
חוקרים עוקבים אחר הקמפיין הזה מאז נובמבר 2021 ולא מצאו שום קשר לאף שחקן או קבוצה ידועים באיום. הם תייגו את הקבוצה שעומדת מאחוריו כפולשים וירטואליים.
היישומים המאיימים שהורדו ממקורות אלה מציעים פונקציונליות לגיטימית אך מכילים גם קוד מקוד פתוח של Android XploitSPY RAT. מסע פרסום זה נראה מאוד ממוקד, כאשר לאפליקציות ב-Google Play יש מעט מאוד התקנות, החל מאפס עד 45. כתוצאה מממצאי המחקר, האפליקציות הללו הוסרו מהפלטפורמה.
תוכן העניינים
מבצע התקיפה ניצל מספר רב של יישומים מזויפים
היישומים המטעים עדיין היו פונקציונליים ובעיקר הוצגו כפלטפורמות הודעות כמו Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ו-Zaangi Chat. דווח כי כ-380 אנשים נפלו קורבן להורדת יישומים אלה ויצירת חשבונות, מתוך כוונה להשתמש בהם להעברת הודעות.
בנוסף, כחלק ממסע הפרסום של eXotic Visit, נעשה שימוש ביישומים כמו Sim Info ו- Telco DB. יישומים אלה מתיימרים להציע מידע על בעלי כרטיסי SIM פשוט על ידי הזנת מספר טלפון מבוסס פקיסטן. יתר על כן, יישומים אחרים מתיימרים להיות שירות משלוחי מזון בפקיסטן ובית חולים הודי לגיטימי הידוע כ-Specialist Hospital (ממותג מחדש כ-Trilife Hospital).
תוכנה זדונית ניידת של XploitSpy מחזיקה במגוון רחב של פונקציות חודרניות
ל-XploitSPY, שהועלה תחילה ל-GitHub כבר באפריל 2020 על ידי משתמש בשם RaoMK, יש קשרים עם חברת פתרונות אבטחת סייבר הודית בשם XploitWizer. זה זוהה כנגזרת של טרויאני אנדרואיד אחר בקוד פתוח בשם L3MON, שהוא עצמו בהשראת AhMyth.
תוכנה זדונית זו מתהדרת במגוון רחב של יכולות המאפשרות לה לאסוף נתונים רגישים ממכשירים שנפגעו. זה יכול לאסוף מיקומי GPS, להקליט אודיו מהמיקרופון, לגשת לאנשי קשר, הודעות SMS, יומני שיחות ותוכן הלוח. זה גם מסוגל לחלץ פרטי התראות מאפליקציות פופולריות כמו WhatsApp, Facebook, Instagram ו-Gmail, כמו גם הורדה והעלאה של קבצים, צפייה באפליקציות מותקנות וביצוע פקודות בתור.
יתרה מכך, היישומים המזיקים מתוכנתים לצלם תמונות ולמנות קבצים מתוך ספריות ספציפיות הקשורות לצילומי מסך, WhatsApp, WhatsApp Business, Telegram וגרסה שונה של WhatsApp הידועה בשם GBWhatsApp.
התוקפים מראים דגש מוגבר על התגנבות
לאורך השנים, שחקני האיומים הללו התאימו את הקוד המזיק שלהם על ידי הוספת ערפול, זיהוי אמולטור, הסתרת כתובות C2 ושימוש בספרייה מקורית. המטרה העיקרית של הספרייה המקורית 'defcome-lib.so' היא לשמור על מידע שרת C2 מקודד ומוסתר מכלי ניתוח סטטיים. אם מזוהה אמולטור, האפליקציה עושה שימוש בשרת C2 מזויף כדי להתחמק מזיהוי.
חלק מהיישומים הופצו דרך אתרים שנוצרו במיוחד למטרה זו, 'chitchat.ngrok.io', המספק קישור לקובץ חבילת אנדרואיד, 'ChitChat.apk' המתארח ב-GitHub. נכון לעכשיו לא ברור כיצד מופנים קורבנות ליישומים אלה.
חוקרים מצהירים כי ההפצה החלה באתרים ייעודיים ולאחר מכן אף עברה לחנות הרשמית של Google Play. מטרת הקמפיין היא ריגול והוא כנראה יכוון לקורבנות בפקיסטן ובהודו.
