XploitSpy mobil skadelig programvare
En ny Android-malwarekampanje, kalt eXotic Visit, har vært aktivt rettet mot brukere i Sør-Asia, spesielt i India og Pakistan. Denne kampanjen har distribuert skadelig programvare gjennom spesialiserte nettsteder og Google Play-butikken.
Forskere har overvåket denne kampanjen siden november 2021 og har ikke funnet noen tilknytning til noen kjent trusselaktør eller gruppe. De har stemplet gruppen bak som Virtual Invaders.
De truende applikasjonene som lastes ned fra disse kildene tilbyr legitim funksjonalitet, men inneholder også kode fra Android XploitSPY RAT med åpen kildekode. Denne kampanjen virker svært fokusert, med applikasjonene på Google Play som har svært få installasjoner, fra null til 45. Som et resultat av forskningsfunnene har disse applikasjonene blitt fjernet fra plattformen.
Innholdsfortegnelse
Angrepsoperasjonen utnyttet en rekke falske søknader
De villedende applikasjonene var fortsatt funksjonelle og fremstilt som meldingsplattformer som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger og Zaangi Chat. Det er rapportert at rundt 380 individer har blitt ofre for å laste ned disse applikasjonene og opprette kontoer, med hensikt å bruke dem til meldinger.
I tillegg, som en del av eXotic Visit-kampanjen, brukes applikasjoner som Sim Info og Telco DB. Disse applikasjonene hevder å tilby informasjon om SIM-korteiere ved å skrive inn et Pakistan-basert telefonnummer. Videre utgir andre applikasjoner seg for å være en matleveringstjeneste i Pakistan og et legitimt indisk sykehus kjent som Specialist Hospital (nå omdøpt til Trilife Hospital).
XploitSpy Mobile Malware har et bredt spekter av påtrengende funksjoner
XploitSPY, opprinnelig lastet opp til GitHub så tidlig som i april 2020 av en bruker ved navn RaoMK, har bånd til et indisk selskap for cybersikkerhetsløsninger kalt XploitWizer. Det har blitt identifisert som et derivat av en annen åpen kildekode Android-trojan kalt L3MON, som i seg selv er inspirert av AhMyth.
Denne skadelige programvaren har et bredt spekter av funksjoner som gjør det mulig å samle inn sensitive data fra kompromitterte enheter. Den kan samle GPS-plasseringer, ta opp lyd fra mikrofonen, få tilgang til kontakter, SMS-meldinger, anropslogger og innhold på utklippstavlen. Den er også i stand til å trekke ut varslingsdetaljer fra populære apper som WhatsApp, Facebook, Instagram og Gmail, samt laste ned og laste opp filer, se installerte applikasjoner og utføre kommandoer i kø.
Dessuten er de skadelige applikasjonene programmert til å ta bilder og telle opp filer fra spesifikke kataloger knyttet til skjermbilder, WhatsApp, WhatsApp Business, Telegram og en modifisert versjon av WhatsApp kjent som GBWhatsApp.
Angripere viser økt vekt på stealth
Gjennom årene har disse trusselaktørene tilpasset sin skadelige kode ved å legge til obfuskering, emulatordeteksjon, skjule av C2-adresser og bruk av et eget bibliotek. Hovedformålet med det opprinnelige biblioteket 'defcome-lib.so' er å holde C2-serverinformasjonen kodet og skjult fra statiske analyseverktøy. Hvis en emulator oppdages, bruker appen en falsk C2-server for å unngå oppdagelse.
Noen av applikasjonene har blitt spredt gjennom nettsteder spesielt opprettet for dette formålet, 'chitchat.ngrok.io', som gir en lenke til en Android-pakkefil, 'ChitChat.apk' som er vert på GitHub. Det er foreløpig ikke klart hvordan ofrene blir henvist til disse søknadene.
Forskere opplyser at distribusjonen startet på dedikerte nettsteder og deretter flyttet til den offisielle Google Play-butikken. Formålet med kampanjen er spionasje, og den vil trolig rette seg mot ofre i Pakistan og India.
