XploitSpy मोबाइल मालवेयर
एक्सोटिक भिजिट नामको नयाँ एन्ड्रोइड मालवेयर अभियानले दक्षिण एसियामा विशेष गरी भारत र पाकिस्तानका प्रयोगकर्ताहरूलाई सक्रिय रूपमा लक्षित गर्दै आएको छ। यो अभियानले विशेष वेबसाइट र गुगल प्ले स्टोर मार्फत मालवेयर वितरण गरिरहेको छ।
अनुसन्धानकर्ताहरूले नोभेम्बर २०२१ देखि यस अभियानको अनुगमन गरिरहेका छन् र कुनै पनि ज्ञात खतरा अभिनेता वा समूहसँग कुनै सम्बन्ध फेला पारेका छैनन्। तिनीहरूले यसको पछाडि समूहलाई भर्चुअल आक्रमणकर्ताहरूको रूपमा लेबल गरेका छन्।
यी स्रोतहरूबाट डाउनलोड गरिएका धम्कीपूर्ण अनुप्रयोगहरूले वैध कार्यात्मकता प्रदान गर्दछ तर खुला स्रोत एन्ड्रोइड XploitSPY RAT बाट कोड पनि समावेश गर्दछ। यो अभियान अत्यन्तै केन्द्रित देखिन्छ, गुगल प्लेमा धेरै कम स्थापना भएका अनुप्रयोगहरू, शून्य देखि ४५ सम्म। अनुसन्धान निष्कर्षहरूको परिणाम स्वरूप, यी अनुप्रयोगहरू प्लेटफर्मबाट हटाइएका छन्।
सामग्रीको तालिका
आक्रमण अपरेशनले धेरै नक्कली अनुप्रयोगहरूको शोषण गर्यो
भ्रामक अनुप्रयोगहरू अझै पनि कार्यात्मक थिए र मुख्य रूपमा अल्फा च्याट, चिटच्याट, डेफकम, डिंक मेसेन्जर, सिग्नल लाइट, TalkU, WeTalk, Wicker मेसेन्जर र Zaangi च्याट जस्ता सन्देश प्लेटफर्महरूको रूपमा प्रस्तुत गरिएको थियो। यो रिपोर्ट गरिएको छ कि करिब 380 व्यक्तिहरू यी एपहरू डाउनलोड गर्न र खाताहरू सिर्जना गर्ने, सन्देश पठाउनको लागि प्रयोग गर्ने उद्देश्यको शिकार भएका छन्।
थप रूपमा, एक्सोटिक भिजिट अभियानको भागको रूपमा, सिम इन्फो र टेल्को डीबी जस्ता अनुप्रयोगहरू प्रयोग गरिन्छ। यी एप्लिकेसनहरूले सिम कार्ड मालिकहरूको बारेमा पाकिस्तानमा आधारित फोन नम्बर प्रविष्ट गरेर जानकारी प्रदान गर्ने दाबी गर्छन्। यसबाहेक, अन्य एप्लिकेसनहरूले पाकिस्तानमा खाना वितरण सेवा र विशेषज्ञ अस्पताल (अहिले ट्राइलाइफ अस्पतालको रूपमा पुन: ब्रान्ड गरिएको) भनेर चिनिने वैध भारतीय अस्पताल भएको बहाना गर्छन्।
XploitSpy मोबाइल मालवेयरले घुसपैठ कार्यहरूको फराकिलो दायरा राख्छ
XploitSPY, सुरुमा अप्रिल २०२० मा RaoMK नामको प्रयोगकर्ताद्वारा GitHub मा अपलोड गरिएको थियो, XploitWizer भनिने भारतीय साइबर सुरक्षा समाधान कम्पनीसँग सम्बन्ध छ। यसलाई L3MON भनिने अर्को खुला स्रोत एन्ड्रोइड ट्रोजनको व्युत्पन्नको रूपमा पहिचान गरिएको छ, जुन आफैं AhMyth बाट प्रेरित छ।
यो मालवेयरले यसलाई सम्झौता गरिएका यन्त्रहरूबाट संवेदनशील डाटा सङ्कलन गर्न सक्षम पार्ने क्षमताहरूको फराकिलो दायरालाई समेट्छ। यसले GPS स्थानहरू, माइक्रोफोनबाट अडियो रेकर्ड गर्न, सम्पर्कहरू पहुँच गर्न, SMS सन्देशहरू, कल लगहरू, र क्लिपबोर्ड सामग्रीहरू जम्मा गर्न सक्छ। यसले व्हाट्सएप, फेसबुक, इन्स्टाग्राम र जीमेल जस्ता लोकप्रिय एपहरूबाट सूचना विवरणहरू निकाल्नका साथै फाइलहरू डाउनलोड र अपलोड गर्न, स्थापित अनुप्रयोगहरू हेर्न, र लामबद्ध आदेशहरू कार्यान्वयन गर्न सक्षम छ।
यसबाहेक, हानिकारक अनुप्रयोगहरू स्क्रिनसटहरू, व्हाट्सएप, व्हाट्सएप बिजनेस, टेलिग्राम, र GBWhatsApp भनेर चिनिने WhatsApp को परिमार्जित संस्करणसँग सम्बन्धित विशिष्ट डाइरेक्टरीहरूबाट फोटोहरू लिन र फाइलहरू गणना गर्न प्रोग्राम गरिएको छ।
आक्रमणकारीहरूले चोरीमा बढेको जोड देखाउँछन्
वर्षौंको दौडान, यी खतरा अभिनेताहरूले अस्पष्टता, इमुलेटर पत्ता लगाउने, C2 ठेगानाहरू लुकाएर, र नेटिभ लाइब्रेरीको प्रयोग गरेर उनीहरूको हानिकारक कोडलाई अनुकूलित गरेका छन्। नेटिभ लाइब्रेरी 'defcome-lib.so' को मुख्य उद्देश्य C2 सर्भर जानकारीलाई इन्कोड गरिएको र स्थिर विश्लेषण उपकरणहरूबाट लुकाएर राख्नु हो। यदि इमुलेटर पत्ता लाग्यो भने, एपले पत्ता लगाउनबाट बच्न नक्कली C2 सर्भरको प्रयोग गर्छ।
केहि अनुप्रयोगहरू विशेष रूपमा यस उद्देश्यका लागि सिर्जना गरिएका वेबसाइटहरू मार्फत प्रचार गरिएको छ, 'chitchat.ngrok.io', जसले GitHub मा होस्ट गरिएको एन्ड्रोइड प्याकेज फाइल, 'ChitChat.apk' को लिङ्क प्रदान गर्दछ। पीडितहरूलाई यी अनुप्रयोगहरूमा कसरी निर्देशित गरिन्छ भन्ने हाल स्पष्ट छैन।
अनुसन्धानकर्ताहरू बताउँछन् कि वितरण समर्पित वेबसाइटहरूमा सुरु भयो र त्यसपछि आधिकारिक गुगल प्ले स्टोरमा सारियो। अभियानको उद्देश्य जासुसी हो र यसले सम्भवतः पाकिस्तान र भारतका पीडितहरूलाई लक्षित गर्नेछ।
