XploitSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ
ਇੱਕ ਨਵੀਂ ਐਂਡਰੌਇਡ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ, ਜਿਸਦਾ ਨਾਮ ਹੈ ਐਕਸੋਟਿਕ ਵਿਜ਼ਿਟ, ਦੱਖਣੀ ਏਸ਼ੀਆ, ਖਾਸ ਕਰਕੇ ਭਾਰਤ ਅਤੇ ਪਾਕਿਸਤਾਨ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸਰਗਰਮੀ ਨਾਲ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਿਹਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਵਿਸ਼ੇਸ਼ ਵੈੱਬਸਾਈਟਾਂ ਅਤੇ ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਰਾਹੀਂ ਮਾਲਵੇਅਰ ਵੰਡ ਰਹੀ ਹੈ।
ਖੋਜਕਰਤਾ ਨਵੰਬਰ 2021 ਤੋਂ ਇਸ ਮੁਹਿੰਮ ਦੀ ਨਿਗਰਾਨੀ ਕਰ ਰਹੇ ਹਨ ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਕਿਸੇ ਜਾਣੇ-ਪਛਾਣੇ ਖਤਰੇ ਵਾਲੇ ਅਭਿਨੇਤਾ ਜਾਂ ਸਮੂਹ ਨਾਲ ਕੋਈ ਸਬੰਧ ਨਹੀਂ ਮਿਲਿਆ ਹੈ। ਉਨ੍ਹਾਂ ਨੇ ਇਸਦੇ ਪਿੱਛੇ ਸਮੂਹ ਨੂੰ ਵਰਚੁਅਲ ਹਮਲਾਵਰਾਂ ਵਜੋਂ ਲੇਬਲ ਕੀਤਾ ਹੈ।
ਇਹਨਾਂ ਸਰੋਤਾਂ ਤੋਂ ਡਾਊਨਲੋਡ ਕੀਤੀਆਂ ਧਮਕੀ ਭਰੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਜਾਇਜ਼ ਕਾਰਜਕੁਸ਼ਲਤਾ ਦੀ ਪੇਸ਼ਕਸ਼ ਕਰਦੀਆਂ ਹਨ ਪਰ ਓਪਨ-ਸੋਰਸ ਐਂਡਰਾਇਡ XploitSPY RAT ਤੋਂ ਕੋਡ ਵੀ ਰੱਖਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਬਹੁਤ ਜ਼ਿਆਦਾ ਕੇਂਦ੍ਰਿਤ ਜਾਪਦੀ ਹੈ, ਗੂਗਲ ਪਲੇ 'ਤੇ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੇ ਬਹੁਤ ਘੱਟ ਸਥਾਪਨਾਵਾਂ ਹਨ, ਜ਼ੀਰੋ ਤੋਂ 45 ਤੱਕ। ਖੋਜ ਖੋਜਾਂ ਦੇ ਨਤੀਜੇ ਵਜੋਂ, ਇਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਪਲੇਟਫਾਰਮ ਤੋਂ ਹਟਾ ਦਿੱਤਾ ਗਿਆ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਅਟੈਕ ਆਪ੍ਰੇਸ਼ਨ ਨੇ ਕਈ ਫਰਜ਼ੀ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕੀਤਾ
ਧੋਖਾ ਦੇਣ ਵਾਲੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਅਜੇ ਵੀ ਕਾਰਜਸ਼ੀਲ ਸਨ ਅਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਅਲਫ਼ਾ ਚੈਟ, ਚਿਟਚੈਟ, ਡੈਫਕਾਮ, ਡਿੰਕ ਮੈਸੇਂਜਰ, ਸਿਗਨਲ ਲਾਈਟ, ਟਾਕਯੂ, ਵੇਟੌਕ, ਵਿਕਰ ਮੈਸੇਂਜਰ ਅਤੇ ਜ਼ਾਂਗੀ ਚੈਟ ਵਰਗੇ ਮੈਸੇਜਿੰਗ ਪਲੇਟਫਾਰਮਾਂ ਵਜੋਂ ਪੇਸ਼ ਕੀਤੀਆਂ ਗਈਆਂ ਸਨ। ਇਹ ਦੱਸਿਆ ਗਿਆ ਹੈ ਕਿ ਲਗਭਗ 380 ਵਿਅਕਤੀ ਇਨ੍ਹਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਅਤੇ ਅਕਾਊਂਟ ਬਣਾਉਣ ਦਾ ਸ਼ਿਕਾਰ ਹੋਏ ਹਨ, ਜੋ ਮੈਸੇਜਿੰਗ ਲਈ ਇਨ੍ਹਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੇ ਇਰਾਦੇ ਨਾਲ ਹਨ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਐਕਸੋਟਿਕ ਵਿਜ਼ਿਟ ਮੁਹਿੰਮ ਦੇ ਹਿੱਸੇ ਵਜੋਂ, ਸਿਮ ਇਨਫੋ ਅਤੇ ਟੈਲਕੋ ਡੀਬੀ ਵਰਗੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਇਹ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸਿਰਫ਼ ਪਾਕਿਸਤਾਨ ਆਧਾਰਿਤ ਫ਼ੋਨ ਨੰਬਰ ਪਾ ਕੇ ਸਿਮ ਕਾਰਡ ਮਾਲਕਾਂ ਬਾਰੇ ਜਾਣਕਾਰੀ ਦੇਣ ਦਾ ਦਾਅਵਾ ਕਰਦੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹੋਰ ਐਪਲੀਕੇਸ਼ਨਾਂ ਪਾਕਿਸਤਾਨ ਵਿੱਚ ਭੋਜਨ ਡਿਲੀਵਰੀ ਸੇਵਾ ਹੋਣ ਦਾ ਦਿਖਾਵਾ ਕਰਦੀਆਂ ਹਨ ਅਤੇ ਇੱਕ ਜਾਇਜ਼ ਭਾਰਤੀ ਹਸਪਤਾਲ ਜਿਸਨੂੰ ਸਪੈਸ਼ਲਿਸਟ ਹਸਪਤਾਲ (ਹੁਣ ਟ੍ਰਾਈਲਾਈਫ ਹਸਪਤਾਲ ਵਜੋਂ ਮੁੜ ਬ੍ਰਾਂਡ ਕੀਤਾ ਗਿਆ ਹੈ) ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ।
XploitSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਘੁਸਪੈਠ ਫੰਕਸ਼ਨ ਦੀ ਇੱਕ ਵਿਆਪਕ ਸੀਮਾ ਹੈ
XploitSPY, RaoMK ਨਾਮ ਦੇ ਇੱਕ ਉਪਭੋਗਤਾ ਦੁਆਰਾ ਅਪ੍ਰੈਲ 2020 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ GitHub 'ਤੇ ਅੱਪਲੋਡ ਕੀਤਾ ਗਿਆ ਸੀ, ਦੇ XploitWizer ਨਾਮ ਦੀ ਇੱਕ ਭਾਰਤੀ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਹੱਲ ਕੰਪਨੀ ਨਾਲ ਸਬੰਧ ਹਨ। ਇਸਦੀ ਪਛਾਣ L3MON ਨਾਮਕ ਇੱਕ ਹੋਰ ਓਪਨ-ਸੋਰਸ ਐਂਡਰੌਇਡ ਟਰੋਜਨ ਦੇ ਡੈਰੀਵੇਟਿਵ ਵਜੋਂ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਖੁਦ AhMyth ਦੁਆਰਾ ਪ੍ਰੇਰਿਤ ਹੈ।
ਇਹ ਮਾਲਵੇਅਰ ਸਮਰੱਥਾਵਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਦਾ ਮਾਣ ਕਰਦਾ ਹੈ ਜਿਸ ਨਾਲ ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸਾਂ ਤੋਂ ਸੰਵੇਦਨਸ਼ੀਲ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਦੇ ਯੋਗ ਹੁੰਦਾ ਹੈ। ਇਹ GPS ਸਥਾਨਾਂ ਨੂੰ ਇਕੱਠਾ ਕਰ ਸਕਦਾ ਹੈ, ਮਾਈਕ੍ਰੋਫੋਨ ਤੋਂ ਆਡੀਓ ਰਿਕਾਰਡ ਕਰ ਸਕਦਾ ਹੈ, ਸੰਪਰਕਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ ਹੈ, SMS ਸੁਨੇਹੇ, ਕਾਲ ਲੌਗਸ, ਅਤੇ ਕਲਿੱਪਬੋਰਡ ਸਮਗਰੀ। ਇਹ ਵਟਸਐਪ, ਫੇਸਬੁੱਕ, ਇੰਸਟਾਗ੍ਰਾਮ, ਅਤੇ ਜੀਮੇਲ ਵਰਗੀਆਂ ਪ੍ਰਸਿੱਧ ਐਪਾਂ ਤੋਂ ਨੋਟੀਫਿਕੇਸ਼ਨ ਵੇਰਵਿਆਂ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੇ ਨਾਲ-ਨਾਲ ਫਾਈਲਾਂ ਨੂੰ ਡਾਉਨਲੋਡ ਅਤੇ ਅਪਲੋਡ ਕਰਨ, ਸਥਾਪਤ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਵੇਖਣ ਅਤੇ ਕਤਾਰਬੱਧ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਵੀ ਸਮਰੱਥ ਹੈ।
ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਾਨੀਕਾਰਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਸਕ੍ਰੀਨਸ਼ੌਟਸ, ਵਟਸਐਪ, ਵਟਸਐਪ ਬਿਜ਼ਨਸ, ਟੈਲੀਗ੍ਰਾਮ, ਅਤੇ GBWhatsApp ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ WhatsApp ਦੇ ਇੱਕ ਸੋਧੇ ਹੋਏ ਸੰਸਕਰਣ ਨਾਲ ਜੁੜੀਆਂ ਖਾਸ ਡਾਇਰੈਕਟਰੀਆਂ ਤੋਂ ਫੋਟੋਆਂ ਲੈਣ ਅਤੇ ਫਾਈਲਾਂ ਦੀ ਗਿਣਤੀ ਕਰਨ ਲਈ ਪ੍ਰੋਗਰਾਮ ਕੀਤਾ ਗਿਆ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ ਸਟੀਲਥ 'ਤੇ ਵੱਧ ਜ਼ੋਰ ਦਿਖਾਇਆ
ਸਾਲਾਂ ਦੌਰਾਨ, ਇਹਨਾਂ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਨੇ ਗੁੰਝਲਦਾਰਤਾ, ਇਮੂਲੇਟਰ ਖੋਜ, C2 ਪਤਿਆਂ ਨੂੰ ਲੁਕਾਉਣ, ਅਤੇ ਇੱਕ ਮੂਲ ਲਾਇਬ੍ਰੇਰੀ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਆਪਣੇ ਨੁਕਸਾਨਦੇਹ ਕੋਡ ਨੂੰ ਅਨੁਕੂਲਿਤ ਕੀਤਾ ਹੈ। ਨੇਟਿਵ ਲਾਇਬ੍ਰੇਰੀ 'defcome-lib.so' ਦਾ ਮੁੱਖ ਉਦੇਸ਼ C2 ਸਰਵਰ ਜਾਣਕਾਰੀ ਨੂੰ ਏਨਕੋਡ ਕਰਨਾ ਅਤੇ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਤੋਂ ਲੁਕਾਉਣਾ ਹੈ। ਜੇਕਰ ਕੋਈ ਇਮੂਲੇਟਰ ਖੋਜਿਆ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਐਪ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇੱਕ ਜਾਅਲੀ C2 ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ।
ਕੁਝ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਖਾਸ ਤੌਰ 'ਤੇ ਇਸ ਮਕਸਦ ਲਈ ਬਣਾਈਆਂ ਗਈਆਂ ਵੈੱਬਸਾਈਟਾਂ ਰਾਹੀਂ ਪ੍ਰਚਾਰਿਆ ਗਿਆ ਹੈ, 'chitchat.ngrok.io', ਜੋ ਕਿ GitHub 'ਤੇ ਹੋਸਟ ਕੀਤੀ Android ਪੈਕੇਜ ਫਾਈਲ, 'ChitChat.apk' ਦਾ ਲਿੰਕ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ। ਫਿਲਹਾਲ ਇਹ ਸਪੱਸ਼ਟ ਨਹੀਂ ਹੈ ਕਿ ਪੀੜਤਾਂ ਨੂੰ ਇਨ੍ਹਾਂ ਅਰਜ਼ੀਆਂ 'ਤੇ ਕਿਵੇਂ ਭੇਜਿਆ ਜਾਂਦਾ ਹੈ।
ਖੋਜਕਰਤਾਵਾਂ ਦਾ ਕਹਿਣਾ ਹੈ ਕਿ ਵੰਡ ਸਮਰਪਿਤ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਸ਼ੁਰੂ ਹੋਈ ਅਤੇ ਫਿਰ ਅਧਿਕਾਰਤ ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਵੀ ਚਲੀ ਗਈ। ਮੁਹਿੰਮ ਦਾ ਉਦੇਸ਼ ਜਾਸੂਸੀ ਹੈ ਅਤੇ ਇਹ ਸੰਭਵ ਤੌਰ 'ਤੇ ਪਾਕਿਸਤਾਨ ਅਤੇ ਭਾਰਤ ਵਿਚ ਪੀੜਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏਗੀ।
