Perisian Hasad Mudah Alih XploitSpy
Kempen perisian hasad Android baharu, dinamakan Lawatan eXotic, telah secara aktif menyasarkan pengguna di Asia Selatan, khususnya di India dan Pakistan. Kempen ini telah mengedarkan perisian hasad melalui tapak web khusus dan Gedung Google Play.
Penyelidik telah memantau kempen ini sejak November 2021 dan tidak menemui sebarang kaitan dengan mana-mana pelakon atau kumpulan ancaman yang diketahui. Mereka telah melabelkan kumpulan di belakangnya sebagai Penceroboh Maya.
Aplikasi mengancam yang dimuat turun daripada sumber ini menawarkan fungsi yang sah tetapi juga mengandungi kod daripada Android XploitSPY RAT sumber terbuka. Kempen ini kelihatan sangat tertumpu, dengan aplikasi di Google Play mempunyai pemasangan yang sangat sedikit, antara sifar hingga 45. Hasil daripada penemuan penyelidikan, aplikasi ini telah dialih keluar daripada platform.
Isi kandungan
Operasi Serangan Mengeksploitasi Banyak Aplikasi Palsu
Aplikasi menipu itu masih berfungsi dan kebanyakannya menyamar sebagai platform pemesejan seperti Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger dan Zaangi Chat. Dilaporkan bahawa kira-kira 380 individu telah menjadi mangsa memuat turun aplikasi ini dan mencipta akaun, berhasrat untuk menggunakannya untuk pemesejan.
Selain itu, sebagai sebahagian daripada kempen Lawatan eXotic, aplikasi seperti Info Sim dan Telco DB digunakan. Aplikasi ini mendakwa menawarkan maklumat tentang pemilik kad SIM dengan hanya memasukkan nombor telefon yang berpangkalan di Pakistan. Tambahan pula, aplikasi lain berpura-pura menjadi perkhidmatan penghantaran makanan di Pakistan dan hospital India yang sah yang dikenali sebagai Hospital Pakar (kini dijenamakan semula sebagai Hospital Trilife).
Malware Mudah Alih XploitSpy Mempunyai Pelbagai Fungsi Menceroboh
XploitSPY, pada mulanya dimuat naik ke GitHub seawal April 2020 oleh pengguna bernama RaoMK, mempunyai hubungan dengan syarikat penyelesaian keselamatan siber India bernama XploitWizer. Ia telah dikenal pasti sebagai terbitan daripada satu lagi trojan Android sumber terbuka yang dipanggil L3MON, yang diilhamkan oleh AhMyth.
Malware ini mempunyai pelbagai keupayaan yang membolehkannya mengumpul data sensitif daripada peranti yang terjejas. Ia boleh mengumpulkan lokasi GPS, merakam audio daripada mikrofon, mengakses kenalan, mesej SMS, log panggilan dan kandungan papan keratan. Ia juga mampu mengekstrak butiran pemberitahuan daripada apl popular seperti WhatsApp, Facebook, Instagram dan Gmail, serta memuat turun dan memuat naik fail, melihat aplikasi yang dipasang dan melaksanakan perintah beratur.
Selain itu, aplikasi berbahaya diprogramkan untuk mengambil foto dan menghitung fail dari direktori tertentu yang dikaitkan dengan tangkapan skrin, WhatsApp, WhatsApp Business, Telegram, dan versi WhatsApp yang diubah suai yang dikenali sebagai GBWhatsApp.
Penyerang Menunjukkan Peningkatan Penekanan pada Stealth
Sepanjang tahun, pelaku ancaman ini telah menyesuaikan kod merosakkan mereka dengan menambahkan kekeliruan, pengesanan emulator, menyembunyikan alamat C2 dan penggunaan perpustakaan asli. Tujuan utama pustaka asli 'defcome-lib.so' adalah untuk memastikan maklumat pelayan C2 dikodkan dan tersembunyi daripada alat analisis statik. Jika emulator dikesan, apl itu menggunakan pelayan C2 palsu untuk mengelak pengesanan.
Beberapa aplikasi telah disebarkan melalui tapak web yang dicipta khusus untuk tujuan ini, 'chitchat.ngrok.io,' yang menyediakan pautan ke fail pakej Android, 'ChitChat.apk' yang dihoskan pada GitHub. Pada masa ini tidak jelas bagaimana mangsa diarahkan ke aplikasi ini.
Penyelidik menyatakan bahawa pengedaran bermula di tapak web khusus dan kemudian berpindah ke gedung Google Play rasmi. Tujuan kempen ini adalah pengintipan dan ia mungkin akan menyasarkan mangsa di Pakistan dan India.
