„XploitSpy Mobile“ kenkėjiška programa
Nauja „Android“ kenkėjiškų programų kampanija, pavadinta „eXotic Visit“, buvo aktyviai skirta vartotojams Pietų Azijoje, ypač Indijoje ir Pakistane. Ši kampanija platina kenkėjiškas programas specializuotose svetainėse ir „Google Play“ parduotuvėje.
Tyrėjai stebėjo šią kampaniją nuo 2021 m. lapkričio mėn. ir nerado jokio ryšio su jokiu žinomu grėsmės veikėju ar grupe. Jie pavadino už jos esančią grupę kaip „Virtual Invaders“.
Grėsmę keliančios programos, atsisiųstos iš šių šaltinių, siūlo teisėtas funkcijas, tačiau taip pat turi kodą iš atvirojo kodo „Android XploitSPY RAT“. Atrodo, kad ši kampanija yra labai sutelkta, o „Google Play“ programos įdiegtos labai nedaug – nuo nulio iki 45. Dėl tyrimų išvadų šios programos buvo pašalintos iš platformos.
Turinys
Atakos operacija išnaudojo daugybę netikrų programų
Apgaulingos programos vis dar veikė ir pirmiausia buvo naudojamos kaip pranešimų platformos, tokios kaip Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ir Zaangi Chat. Pranešama, kad maždaug 380 asmenų tapo šių programų atsisiuntimo ir paskyrų kūrimo aukomis, ketindamos jas naudoti susirašinėjimui.
Be to, kaip „eXotic Visit“ kampanijos dalis, naudojamos tokios programos kaip „Sim Info“ ir „Telco DB“. Teigiama, kad šios programos siūlo informaciją apie SIM kortelių savininkus tiesiog įvesdamos Pakistane esantį telefono numerį. Be to, kitos programos apsimeta maisto pristatymo paslauga Pakistane ir teisėta Indijos ligoninė, žinoma kaip Specialist Hospital (dabar pervadinta į Trilife ligoninę).
„XploitSpy Mobile“ kenkėjiška programinė įranga turi daugybę įkyrių funkcijų
„XploitSPY“, kurią 2020 m. balandžio mėn. vartotojas, vardu RaoMK, įkėlė į „GitHub“, turi ryšių su Indijos kibernetinio saugumo sprendimų bendrove „XploitWizer“. Jis buvo identifikuotas kaip kito atvirojo kodo Android Trojos arklys, vadinamas L3MON, darinys, kurį įkvėpė AhMyth.
Ši kenkėjiška programa gali pasigirti daugybe galimybių, leidžiančių rinkti neskelbtinus duomenis iš pažeistų įrenginių. Jis gali rinkti GPS vietas, įrašyti garsą iš mikrofono, pasiekti kontaktus, SMS žinutes, skambučių žurnalus ir mainų srities turinį. Jis taip pat gali išgauti pranešimų informaciją iš populiarių programų, tokių kaip WhatsApp, Facebook, Instagram ir Gmail, taip pat atsisiųsti ir įkelti failus, peržiūrėti įdiegtas programas ir vykdyti eilėje esančias komandas.
Be to, kenksmingos programos yra užprogramuotos fotografuoti ir išvardyti failus iš konkrečių katalogų, susijusių su ekrano kopijomis, „WhatsApp“, „WhatsApp Business“, „Telegram“ ir modifikuota „WhatsApp“ versija, žinoma kaip GBWhatsApp.
Užpuolikai rodo didesnį dėmesį slaptumui
Bėgant metams šie grėsmių subjektai pritaikė savo žalingą kodą, įtraukdami užmaskavimą, emuliatoriaus aptikimą, slėpdami C2 adresus ir naudodami savąją biblioteką. Pagrindinis vietinės bibliotekos „defcome-lib.so“ tikslas yra išlaikyti C2 serverio informaciją užkoduotą ir paslėptą nuo statinės analizės įrankių. Jei aptinkamas emuliatorius, programa naudoja netikrą C2 serverį, kad išvengtų aptikimo.
Kai kurios programos buvo platinamos per specialiai šiam tikslui sukurtas svetaines „chitchat.ngrok.io“, kurioje pateikiama nuoroda į „Android“ paketo failą „ChitChat.apk“, priglobtą „GitHub“. Šiuo metu neaišku, kaip aukos nukreipiamos į šias programas.
Tyrėjai teigia, kad platinimas prasidėjo tam skirtose svetainėse, o vėliau netgi buvo perkeltas į oficialią „Google Play“ parduotuvę. Kampanijos tikslas – šnipinėjimas ir greičiausiai ji bus nukreipta į aukas Pakistane ir Indijoje.
