XploitSpy Mobile Malware

Az eXotic Visit névre keresztelt új androidos rosszindulatú programok kampánya aktívan megcélozta a dél-ázsiai felhasználókat, különösen Indiában és Pakisztánban. Ez a kampány rosszindulatú programokat terjeszt speciális webhelyeken és a Google Play Áruházban.

A kutatók 2021 novembere óta figyelik ezt a kampányt, és nem találtak összefüggést egyetlen ismert fenyegető szereplővel vagy csoporttal sem. A mögötte álló csoportot Virtual Invadersnek nevezték el.

Az ezekből a forrásokból letöltött fenyegető alkalmazások legitim funkcionalitást kínálnak, de tartalmazzák a nyílt forráskódú Android XploitSPY RAT kódját is. Ez a kampány nagyon koncentráltnak tűnik, a Google Playen található alkalmazásoknak nagyon kevés telepítése van, nullától 45-ig. A kutatási eredmények eredményeként ezeket az alkalmazásokat eltávolították a platformról.

A támadási művelet számos hamis alkalmazást használt ki

A megtévesztő alkalmazások továbbra is működőképesek voltak, és elsősorban üzenetküldő platformként jelentek meg, mint például az Alpha Chat, a ChitChat, a Defcom, a Dink Messenger, a Signal Lite, a TalkU, a WeTalk, a Wicker Messenger és a Zaangi Chat. A jelentések szerint körülbelül 380 személy esett áldozatul ezeknek az alkalmazásoknak a letöltésének és fiók létrehozásának, és üzenetküldésre szánták őket.

Ezenkívül az eXotic Visit kampány részeként olyan alkalmazásokat használnak, mint a Sim Info és a Telco DB. Ezek az alkalmazások azt állítják, hogy információkat kínálnak a SIM-kártya tulajdonosairól egy pakisztáni telefonszám egyszerű megadásával. Ezenkívül más alkalmazások úgy tesznek, mintha egy pakisztáni élelmiszer-kiszállítási szolgáltatás és egy legitim indiai kórház, a Specialist Hospital néven ismert (most Trilife Hospital néven átnevezve).

Az XploitSpy Mobile Malware tolakodó funkciók széles skálájával rendelkezik

Az XploitSPY, amelyet eredetileg már 2020 áprilisában töltött fel a GitHubba egy RaoMK nevű felhasználó által, kapcsolatban áll az XploitWizer nevű indiai kiberbiztonsági megoldásokkal foglalkozó céggel. Egy másik nyílt forráskódú Android trójai, az L3MON származékaként azonosították, amelyet magát az AhMyth ihletett.

Ez a rosszindulatú program a képességek széles skálájával büszkélkedhet, amelyek lehetővé teszik, hogy érzékeny adatokat gyűjtsön a feltört eszközökről. Összegyűjtheti a GPS-helyeket, hangot rögzíthet a mikrofonból, elérheti a névjegyeket, SMS-üzeneteket, hívásnaplókat és a vágólap tartalmát. Képes továbbá az értesítések részleteinek kinyerésére olyan népszerű alkalmazásokból, mint a WhatsApp, Facebook, Instagram és Gmail, valamint fájlok letöltésére és feltöltésére, a telepített alkalmazások megtekintésére és a sorban álló parancsok végrehajtására.

Ezen túlmenően a káros alkalmazások úgy vannak programozva, hogy fényképeket készítsenek és fájlokat soroljanak fel a képernyőképekhez, a WhatsApp-hoz, a WhatsApp Business-hez, a Telegram-hoz és a WhatsApp GBWhatsApp néven ismert módosított verzióiból.

A támadók nagyobb hangsúlyt fektetnek a lopakodásra

Az évek során ezek a fenyegető szereplők testreszabták káros kódjukat azáltal, hogy homályosítást, emulátor-észlelést, C2-címek elrejtését és natív könyvtár használatát tették hozzá. A natív 'defcome-lib.so' könyvtár fő célja, hogy a C2 szerver információit kódolva és rejtve tartsa a statikus elemző eszközök elől. Ha emulátort észlel, az alkalmazás hamis C2-kiszolgálót használ az észlelés elkerülésére.

Az alkalmazások egy részét kifejezetten erre a célra létrehozott webhelyeken, a „chitchat.ngrok.io”-on keresztül terjesztették, amely hivatkozást biztosít a GitHubon tárolt „ChitChat.apk” Android-csomagfájlra. Jelenleg nem világos, hogyan irányítják az áldozatokat ezekhez az alkalmazásokhoz.

A kutatók azt állítják, hogy a terjesztés dedikált webhelyeken kezdődött, majd átkerült a hivatalos Google Play áruházba is. A kampány célja a kémkedés, és valószínűleg a pakisztáni és indiai áldozatokat célozza meg.