Malware mobile XploitSpy
Una nuova campagna malware per Android, denominata eXotic Visit, ha preso di mira attivamente gli utenti dell'Asia meridionale, in particolare in India e Pakistan. Questa campagna distribuisce malware attraverso siti Web specializzati e Google Play Store.
I ricercatori monitorano questa campagna dal novembre 2021 e non hanno trovato alcun collegamento con alcun attore o gruppo di minacce noto. Hanno etichettato il gruppo dietro di esso come Virtual Invaders.
Le applicazioni minacciose scaricate da queste fonti offrono funzionalità legittime ma contengono anche codice del sistema Android open source XploitSPY RAT. Questa campagna sembra molto mirata, con le applicazioni su Google Play che hanno pochissime installazioni, da zero a 45. In seguito ai risultati della ricerca, queste applicazioni sono state rimosse dalla piattaforma.
Sommario
L’operazione di attacco ha sfruttato numerose applicazioni false
Le applicazioni ingannevoli erano ancora funzionanti e si presentavano principalmente come piattaforme di messaggistica come Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger e Zaangi Chat. È stato riferito che circa 380 persone sono state vittime del download di queste applicazioni e della creazione di account, con l'intenzione di utilizzarle per la messaggistica.
Inoltre, come parte della campagna eXotic Visit, vengono utilizzate applicazioni come Sim Info e Telco DB. Queste applicazioni pretendono di offrire informazioni sui proprietari della carta SIM semplicemente inserendo un numero di telefono con sede in Pakistan. Inoltre, altre applicazioni fingono di essere un servizio di consegna di cibo in Pakistan e un legittimo ospedale indiano noto come Specialist Hospital (ora rinominato Trilife Hospital).
XploitSpy Mobile Malware possiede un’ampia gamma di funzioni invasive
XploitSPY, inizialmente caricato su GitHub già nell'aprile 2020 da un utente chiamato RaoMK, ha legami con una società indiana di soluzioni di sicurezza informatica chiamata XploitWizer. È stato identificato come un derivato di un altro trojan Android open source chiamato L3MON, a sua volta ispirato da AhMyth.
Questo malware vanta un'ampia gamma di funzionalità che gli consentono di raccogliere dati sensibili da dispositivi compromessi. Può raccogliere posizioni GPS, registrare audio dal microfono, accedere a contatti, messaggi SMS, registri delle chiamate e contenuto degli appunti. È anche in grado di estrarre i dettagli delle notifiche da app popolari come WhatsApp, Facebook, Instagram e Gmail, nonché di scaricare e caricare file, visualizzare le applicazioni installate ed eseguire comandi in coda.
Inoltre, le applicazioni dannose sono programmate per scattare foto ed enumerare file da directory specifiche associate a screenshot, WhatsApp, WhatsApp Business, Telegram e una versione modificata di WhatsApp nota come GBWhatsApp.
Gli attaccanti danno maggiore importanza alla furtività
Nel corso degli anni, questi autori di minacce hanno personalizzato il loro codice dannoso aggiungendo offuscamento, rilevamento dell'emulatore, occultamento degli indirizzi C2 e utilizzo di una libreria nativa. Lo scopo principale della libreria nativa "defcome-lib.so" è mantenere le informazioni del server C2 codificate e nascoste agli strumenti di analisi statica. Se viene rilevato un emulatore, l'app utilizza un falso server C2 per eludere il rilevamento.
Alcune applicazioni sono state propagate attraverso siti Web creati appositamente per questo scopo, "chitchat.ngrok.io", che fornisce un collegamento a un file del pacchetto Android, "ChitChat.apk" ospitato su GitHub. Al momento non è chiaro come le vittime vengano indirizzate a queste applicazioni.
I ricercatori affermano che la distribuzione è iniziata su siti Web dedicati per poi spostarsi anche sul Google Play Store ufficiale. Lo scopo della campagna è lo spionaggio e probabilmente prenderà di mira le vittime in Pakistan e India.
