XploitSpy mobilni zlonamjerni softver
Nova kampanja zlonamjernog softvera za Android, nazvana eXotic Visit, aktivno je ciljala korisnike u južnoj Aziji, posebice u Indiji i Pakistanu. Ova kampanja distribuira zlonamjerni softver putem specijaliziranih web stranica i trgovine Google Play.
Istraživači prate ovu kampanju od studenog 2021. i nisu pronašli nikakvu povezanost s bilo kojim poznatim akterom prijetnje ili grupom. Grupu koja stoji iza toga označili su kao Virtualne osvajače.
Prijeteće aplikacije preuzete s ovih izvora nude legitimnu funkcionalnost, ali također sadrže kôd s otvorenog koda Android XploitSPY RAT. Čini se da je ova kampanja vrlo fokusirana, a aplikacije na Google Playu imaju vrlo malo instalacija, u rasponu od nula do 45. Kao rezultat nalaza istraživanja, te su aplikacije uklonjene s platforme.
Sadržaj
Operacija napada iskorištavala je brojne lažne aplikacije
Prijevarne aplikacije i dalje su bile funkcionalne i prvenstveno su se predstavljale kao platforme za razmjenu poruka kao što su Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger i Zaangi Chat. Prijavljeno je da je oko 380 pojedinaca postalo žrtvama preuzimanja ovih aplikacija i stvaranja računa, s namjerom da ih koriste za razmjenu poruka.
Osim toga, u sklopu kampanje eXotic Visit koriste se aplikacije poput Sim Info i Telco DB. Ove aplikacije tvrde da nude informacije o vlasnicima SIM kartica jednostavnim unosom pakistanskog telefonskog broja. Nadalje, druge se aplikacije pretvaraju da su služba za dostavu hrane u Pakistanu i legitimna indijska bolnica poznata kao Specijalizirana bolnica (sada preimenovana u bolnicu Trilife).
XploitSpy mobilni zlonamjerni softver posjeduje širok raspon intruzivnih funkcija
XploitSPY, koji je u travnju 2020. prvi put postavio na GitHub korisnik pod imenom RaoMK, povezan je s indijskom tvrtkom za rješenja kibernetičke sigurnosti pod nazivom XploitWizer. Identificiran je kao derivat drugog Android trojanca otvorenog koda pod nazivom L3MON, koji je sam inspiriran AhMythom.
Ovaj se zlonamjerni softver može pohvaliti širokim rasponom mogućnosti koje mu omogućuju prikupljanje osjetljivih podataka s kompromitiranih uređaja. Može prikupljati GPS lokacije, snimati zvuk s mikrofona, pristupati kontaktima, SMS porukama, zapisima poziva i sadržaju međuspremnika. Također je sposoban izdvajati detalje obavijesti iz popularnih aplikacija kao što su WhatsApp, Facebook, Instagram i Gmail, kao i preuzimati i postavljati datoteke, pregledavati instalirane aplikacije i izvršavati naredbe na čekanju.
Štoviše, štetne aplikacije su programirane da snimaju fotografije i nabrajaju datoteke iz određenih direktorija povezanih sa snimkama zaslona, WhatsApp, WhatsApp Business, Telegram i modificiranu verziju WhatsAppa poznatu kao GBWhatsApp.
Napadači pokazuju povećani naglasak na nevidljivosti
Tijekom godina, ovi akteri prijetnji prilagodili su svoj štetni kod dodavanjem zamagljivanja, otkrivanja emulatora, skrivanja C2 adresa i upotrebe izvorne biblioteke. Glavna svrha izvorne biblioteke 'defcome-lib.so' je da informacije C2 poslužitelja budu kodirane i skrivene od alata za statičku analizu. Ako se otkrije emulator, aplikacija koristi lažni C2 poslužitelj kako bi izbjegla otkrivanje.
Neke od aplikacija šire se putem web stranica posebno stvorenih za ovu svrhu, 'chitchat.ngrok.io', koje pružaju poveznicu na datoteku Android paketa, 'ChitChat.apk' koja se nalazi na GitHubu. Trenutačno nije jasno kako se žrtve usmjeravaju na te aplikacije.
Istraživači navode da je distribucija započela na namjenskim web stranicama, a zatim se čak preselila u službenu trgovinu Google Play. Svrha kampanje je špijunaža i vjerojatno će ciljati žrtve u Pakistanu i Indiji.
