XploitSpy mobiele malware

Een nieuwe Android-malwarecampagne, genaamd eXotic Visit, richt zich actief op gebruikers in Zuid-Azië, met name in India en Pakistan. Deze campagne verspreidt malware via gespecialiseerde websites en de Google Play Store.

Onderzoekers volgen deze campagne sinds november 2021 en hebben geen verband gevonden met enige bekende dreigingsactoren of -groep. Ze hebben de groep erachter bestempeld als Virtual Invaders.

De bedreigende applicaties die van deze bronnen worden gedownload, bieden legitieme functionaliteit, maar bevatten ook code van het open-source Android XploitSPY RAT. Deze campagne lijkt zeer gericht, waarbij de applicaties op Google Play zeer weinig installaties hebben, variërend van nul tot 45. Als gevolg van de onderzoeksresultaten zijn deze applicaties van het platform verwijderd.

Bij de aanvalsoperatie werden talloze valse applicaties misbruikt

De misleidende applicaties waren nog steeds functioneel en deden zich voornamelijk voor als berichtenplatforms zoals Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger en Zangi Chat. Naar verluidt zijn ongeveer 380 personen het slachtoffer geworden van het downloaden van deze applicaties en het aanmaken van accounts, met de bedoeling deze te gebruiken voor berichtenuitwisseling.

Als onderdeel van de eXotic Visit-campagne worden bovendien applicaties zoals Sim Info en Telco DB gebruikt. Deze applicaties beweren informatie te bieden over eigenaren van simkaarten door simpelweg een in Pakistan gevestigd telefoonnummer in te voeren. Bovendien doen andere toepassingen zich voor als een voedselbezorgdienst in Pakistan en een legitiem Indiaas ziekenhuis dat bekend staat als Specialist Hospital (nu omgedoopt tot Trilife Hospital).

XploitSpy mobiele malware beschikt over een breed scala aan opdringerige functies

XploitSPY, aanvankelijk al in april 2020 geüpload naar GitHub door een gebruiker genaamd RaoMK, heeft banden met een Indiaas bedrijf voor cyberbeveiligingsoplossingen genaamd XploitWizer. Het is geïdentificeerd als een afgeleide van een andere open-source Android-trojan genaamd L3MON, die zelf is geïnspireerd door AhMyth.

Deze malware beschikt over een breed scala aan mogelijkheden waardoor gevoelige gegevens van besmette apparaten kunnen worden verzameld. Het kan GPS-locaties verzamelen, audio opnemen via de microfoon, toegang krijgen tot contacten, sms-berichten, oproeplogboeken en de inhoud van het klembord. Het is ook in staat om meldingsgegevens te extraheren van populaire apps zoals WhatsApp, Facebook, Instagram en Gmail, maar ook om bestanden te downloaden en te uploaden, geïnstalleerde applicaties te bekijken en opdrachten in de wachtrij uit te voeren.

Bovendien zijn de schadelijke applicaties geprogrammeerd om foto's te maken en bestanden op te sommen uit specifieke mappen die verband houden met screenshots, WhatsApp, WhatsApp Business, Telegram en een aangepaste versie van WhatsApp, bekend als GBWhatsApp.

Aanvallers leggen steeds meer nadruk op stealth

Door de jaren heen hebben deze bedreigingsactoren hun schadelijke code aangepast door verduistering, emulatordetectie, het verbergen van C2-adressen en het gebruik van een eigen bibliotheek toe te voegen. Het belangrijkste doel van de eigen bibliotheek 'defcome-lib.so' is om de C2-serverinformatie gecodeerd en verborgen te houden voor statische analysehulpmiddelen. Als er een emulator wordt gedetecteerd, maakt de app gebruik van een nep-C2-server om detectie te omzeilen.

Sommige applicaties zijn verspreid via websites die speciaal voor dit doel zijn gemaakt, 'chitchat.ngrok.io', die een link biedt naar een Android-pakketbestand, 'ChitChat.apk', gehost op GitHub. Het is momenteel niet duidelijk hoe slachtoffers naar deze applicaties worden geleid.

Onderzoekers stellen dat de distributie begon op speciale websites en vervolgens zelfs verhuisde naar de officiële Google Play Store. Het doel van de campagne is spionage en zal zich waarschijnlijk richten op slachtoffers in Pakistan en India.