XploitSpy मोबाइल मैलवेयर

eXotic Visit नामक एक नया Android मैलवेयर अभियान दक्षिण एशिया, विशेष रूप से भारत और पाकिस्तान में उपयोगकर्ताओं को सक्रिय रूप से लक्षित कर रहा है। यह अभियान विशेष वेबसाइटों और Google Play Store के माध्यम से मैलवेयर वितरित कर रहा है।

शोधकर्ता नवंबर 2021 से इस अभियान पर नज़र रख रहे हैं और उन्हें किसी भी ज्ञात ख़तरा अभिनेता या समूह से इसका कोई संबंध नहीं मिला है। उन्होंने इसके पीछे के समूह को वर्चुअल इनवेडर के रूप में लेबल किया है।

इन स्रोतों से डाउनलोड किए गए खतरनाक एप्लिकेशन वैध कार्यक्षमता प्रदान करते हैं, लेकिन उनमें ओपन-सोर्स एंड्रॉइड XploitSPY RAT का कोड भी शामिल है। यह अभियान अत्यधिक केंद्रित प्रतीत होता है, Google Play पर एप्लिकेशन बहुत कम इंस्टॉल हैं, जो शून्य से लेकर 45 तक हैं। शोध निष्कर्षों के परिणामस्वरूप, इन एप्लिकेशन को प्लेटफ़ॉर्म से हटा दिया गया है।

इस हमले में कई फर्जी एप्लीकेशन का इस्तेमाल किया गया

ये भ्रामक एप्लिकेशन अभी भी काम कर रहे थे और मुख्य रूप से अल्फा चैट, चिटचैट, डेफकॉम, डिंक मैसेंजर, सिग्नल लाइट, टॉकयू, वीटॉक, विकर मैसेंजर और ज़ांगी चैट जैसे मैसेजिंग प्लेटफ़ॉर्म के रूप में पेश किए गए थे। बताया गया है कि लगभग 380 व्यक्ति इन एप्लिकेशन को डाउनलोड करने और अकाउंट बनाने के शिकार हुए हैं, जो उन्हें मैसेजिंग के लिए इस्तेमाल करने का इरादा रखते हैं।

इसके अतिरिक्त, एक्सोटिक विजिट अभियान के हिस्से के रूप में, सिम इन्फो और टेल्को डीबी जैसे अनुप्रयोगों का उपयोग किया जाता है। ये अनुप्रयोग केवल पाकिस्तान स्थित फ़ोन नंबर इनपुट करके सिम कार्ड मालिकों के बारे में जानकारी देने का दावा करते हैं। इसके अलावा, अन्य अनुप्रयोग पाकिस्तान में खाद्य वितरण सेवा और स्पेशलिस्ट हॉस्पिटल (जिसे अब ट्राइलाइफ़ हॉस्पिटल के रूप में पुनः ब्रांडेड किया गया है) के रूप में जाना जाने वाला एक वैध भारतीय अस्पताल होने का दिखावा करते हैं।

XploitSpy मोबाइल मैलवेयर में घुसपैठ करने वाले कार्यों की एक विस्तृत श्रृंखला है

अप्रैल 2020 में ही GitHub पर रावएमके नामक यूजर द्वारा अपलोड किए गए XploitSPY का संबंध XploitWizer नामक एक भारतीय साइबर सुरक्षा समाधान कंपनी से है। इसे L3MON नामक एक अन्य ओपन-सोर्स एंड्रॉइड ट्रोजन के व्युत्पन्न के रूप में पहचाना गया है, जो खुद AhMyth से प्रेरित है।

इस मैलवेयर में कई तरह की क्षमताएं हैं जो इसे समझौता किए गए डिवाइस से संवेदनशील डेटा एकत्र करने में सक्षम बनाती हैं। यह GPS लोकेशन एकत्र कर सकता है, माइक्रोफ़ोन से ऑडियो रिकॉर्ड कर सकता है, संपर्कों, SMS संदेशों, कॉल लॉग और क्लिपबोर्ड सामग्री तक पहुँच सकता है। यह व्हाट्सएप, फेसबुक, इंस्टाग्राम और जीमेल जैसे लोकप्रिय ऐप से अधिसूचना विवरण निकालने के साथ-साथ फ़ाइलों को डाउनलोड और अपलोड करने, इंस्टॉल किए गए एप्लिकेशन देखने और कतारबद्ध कमांड निष्पादित करने में भी सक्षम है।

इसके अलावा, हानिकारक एप्लिकेशन को स्क्रीनशॉट, व्हाट्सएप, व्हाट्सएप बिजनेस, टेलीग्राम और व्हाट्सएप के संशोधित संस्करण जीबी व्हाट्सएप से जुड़ी विशिष्ट निर्देशिकाओं से तस्वीरें लेने और फाइलों को गिनने के लिए प्रोग्राम किया गया है।

हमलावरों ने छिपकर काम करने पर अधिक जोर दिया

वर्षों से, इन ख़तरनाक अभिनेताओं ने अस्पष्टीकरण, एमुलेटर पहचान, C2 पतों को छिपाना और एक मूल लाइब्रेरी का उपयोग करके अपने हानिकारक कोड को अनुकूलित किया है। मूल लाइब्रेरी 'defcome-lib.so' का मुख्य उद्देश्य C2 सर्वर की जानकारी को एन्कोडेड रखना और स्थिर विश्लेषण उपकरणों से छिपाना है। यदि कोई एमुलेटर पता चलता है, तो ऐप पता लगाने से बचने के लिए एक नकली C2 सर्वर का उपयोग करता है।

कुछ एप्लिकेशन को इस उद्देश्य के लिए विशेष रूप से बनाई गई वेबसाइट 'chitchat.ngrok.io' के माध्यम से प्रचारित किया गया है, जो GitHub पर होस्ट की गई Android पैकेज फ़ाइल 'ChitChat.apk' का लिंक प्रदान करता है। वर्तमान में यह स्पष्ट नहीं है कि पीड़ितों को इन एप्लिकेशन तक कैसे निर्देशित किया जाता है।

शोधकर्ताओं का कहना है कि वितरण समर्पित वेबसाइटों पर शुरू हुआ और फिर आधिकारिक गूगल प्ले स्टोर पर भी चला गया। अभियान का उद्देश्य जासूसी है और यह संभवतः पाकिस्तान और भारत में पीड़ितों को लक्षित करेगा।