XploitSpy Mobile ļaunprātīga programmatūra
Jauna Android ļaunprātīgas programmatūras kampaņa ar nosaukumu eXotic Visit ir aktīvi vērsta uz lietotājiem Dienvidāzijā, īpaši Indijā un Pakistānā. Šī kampaņa ir izplatījusi ļaunprātīgu programmatūru, izmantojot specializētas vietnes un Google Play veikalu.
Pētnieki ir novērojuši šo kampaņu kopš 2021. gada novembra un nav atraduši nekādu saistību ar kādu zināmu apdraudējuma dalībnieku vai grupu. Viņi ir nodēvējuši grupu, kas atrodas aiz tā, kā Virtual Invaders.
No šiem avotiem lejupielādētās draudošās lietojumprogrammas piedāvā likumīgu funkcionalitāti, taču satur arī kodu no atvērtā pirmkoda Android XploitSPY RAT. Šķiet, ka šī kampaņa ir ļoti koncentrēta, jo pakalpojumā Google Play lietojumprogrammām ir ļoti maz instalēšanas gadījumu — no nulles līdz 45. Pētījuma rezultātu rezultātā šīs lietojumprogrammas ir noņemtas no platformas.
Satura rādītājs
Uzbrukuma operācijā tika izmantotas daudzas viltotas lietojumprogrammas
Maldinošās lietojumprogrammas joprojām bija funkcionālas un galvenokārt tika izmantotas kā ziņojumapmaiņas platformas, piemēram, Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger un Zaangi Chat. Tiek ziņots, ka aptuveni 380 personas ir kļuvušas par upuriem šo lietojumprogrammu lejupielādēšanai un kontu izveidei, plānojot tās izmantot ziņojumapmaiņai.
Turklāt eXotic Visit kampaņas ietvaros tiek izmantotas tādas lietojumprogrammas kā Sim Info un Telco DB. Šīs lietojumprogrammas apgalvo, ka piedāvā informāciju par SIM karšu īpašniekiem, vienkārši ievadot Pakistānas tālruņa numuru. Turklāt citas lietojumprogrammas izliekas par pārtikas piegādes pakalpojumu Pakistānā un likumīgu Indijas slimnīcu, kas pazīstama kā Specialist Hospital (tagad pārdēvēta par Trilife Hospital).
XploitSpy Mobile ļaunprogrammatūrai ir plašs uzmācīgu funkciju klāsts
XploitSPY, ko sākotnēji GitHub jau 2020. gada aprīlī augšupielādēja lietotājs RaoMK, ir saistīts ar Indijas kiberdrošības risinājumu uzņēmumu XploitWizer. Tas ir identificēts kā cita atvērtā koda Android Trojas zirga L3MON atvasinājums, kuru iedvesmojis AhMyth.
Šai ļaunprogrammatūrai ir plašs iespēju klāsts, kas ļauj vākt sensitīvus datus no apdraudētām ierīcēm. Tas var apkopot GPS atrašanās vietas, ierakstīt audio no mikrofona, piekļūt kontaktiem, SMS ziņām, zvanu žurnāliem un starpliktuves saturam. Tas var arī iegūt paziņojumu informāciju no tādām populārām lietotnēm kā WhatsApp, Facebook, Instagram un Gmail, kā arī lejupielādēt un augšupielādēt failus, skatīt instalētās lietojumprogrammas un izpildīt rindā esošās komandas.
Turklāt kaitīgās lietojumprogrammas ir ieprogrammētas, lai uzņemtu fotoattēlus un uzskaitītu failus no konkrētiem direktorijiem, kas saistīti ar ekrānuzņēmumiem, WhatsApp, WhatsApp Business, Telegram un modificētu WhatsApp versiju, kas pazīstama kā GBWhatsApp.
Uzbrucēji lielāku uzmanību pievērš slepenībai
Gadu gaitā šie apdraudējuma dalībnieki ir pielāgojuši savu kaitīgo kodu, pievienojot apmulsināšanu, emulatora noteikšanu, C2 adrešu slēpšanu un vietējās bibliotēkas izmantošanu. Vietējās bibliotēkas 'defcome-lib.so' galvenais mērķis ir saglabāt C2 servera informāciju kodētu un paslēptu no statiskās analīzes rīkiem. Ja tiek atklāts emulators, lietotne izmanto viltotu C2 serveri, lai izvairītos no atklāšanas.
Dažas lietojumprogrammas ir izplatītas, izmantojot īpaši šim nolūkam izveidotās vietnes “chitchat.ngrok.io”, kas nodrošina saiti uz Android pakotnes failu “ChitChat.apk”, kas mitināts vietnē GitHub. Pašlaik nav skaidrs, kā upuri tiek novirzīti uz šīm lietojumprogrammām.
Pētnieki norāda, ka izplatīšana sākās īpašās vietnēs un pēc tam pat pārcēlās uz oficiālo Google Play veikalu. Kampaņas mērķis ir spiegošana, un tās mērķis, iespējams, būs upuri Pakistānā un Indijā.
