Złośliwe oprogramowanie mobilne XploitSpy
Nowa kampania złośliwego oprogramowania dla Androida, nazwana eXotic Visit, aktywnie atakuje użytkowników w Azji Południowej, szczególnie w Indiach i Pakistanie. Ta kampania polegała na dystrybucji złośliwego oprogramowania za pośrednictwem wyspecjalizowanych witryn internetowych i sklepu Google Play.
Badacze monitorują tę kampanię od listopada 2021 r. i nie znaleźli powiązań z żadnym znanym ugrupowaniem lub grupą zagrażającą. Grupę, która za tym stoi, oznaczyli jako Virtual Invaders.
Groźne aplikacje pobrane z tych źródeł oferują legalną funkcjonalność, ale zawierają także kod z Androida XploitSPY RAT o otwartym kodzie źródłowym. Ta kampania wydaje się bardzo skoncentrowana, a aplikacje w Google Play mają bardzo mało instalacji, od zera do 45. W wyniku badań aplikacje te zostały usunięte z platformy.
Spis treści
W operacji ataku wykorzystano wiele fałszywych aplikacji
Zwodnicze aplikacje nadal działały i udawały głównie platformy komunikacyjne, takie jak Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger i Zaangi Chat. Według doniesień około 380 osób padło ofiarą pobierania tych aplikacji i tworzenia kont z zamiarem używania ich do przesyłania wiadomości.
Dodatkowo w ramach kampanii eXotic Visit wykorzystywane są aplikacje takie jak Sim Info i Telco DB. Aplikacje te rzekomo oferują informacje o właścicielach kart SIM po prostu wprowadzając numer telefonu z Pakistanu. Co więcej, inne aplikacje udają firmę dostarczającą żywność w Pakistanie i legalny indyjski szpital znany jako Szpital Specjalistyczny (obecnie przemianowany na Szpital Trilife).
Złośliwe oprogramowanie mobilne XploitSpy posiada szeroki zakres inwazyjnych funkcji
XploitSPY, pierwotnie przesłany do GitHub już w kwietniu 2020 r. przez użytkownika o imieniu RaoMK, jest powiązany z indyjską firmą XploitWizer zajmującą się rozwiązaniami w zakresie cyberbezpieczeństwa. Zidentyfikowano go jako pochodną innego trojana dla Androida o otwartym kodzie źródłowym o nazwie L3MON, który sam w sobie jest inspirowany AhMyth.
Szkodnik ten oferuje szeroki zakres możliwości umożliwiających zbieranie wrażliwych danych z zaatakowanych urządzeń. Może zbierać lokalizacje GPS, nagrywać dźwięk z mikrofonu, uzyskiwać dostęp do kontaktów, wiadomości SMS, rejestrów połączeń i zawartości schowka. Potrafi także wyodrębniać szczegóły powiadomień z popularnych aplikacji, takich jak WhatsApp, Facebook, Instagram i Gmail, a także pobierać i przesyłać pliki, przeglądać zainstalowane aplikacje i wykonywać polecenia umieszczone w kolejce.
Co więcej, szkodliwe aplikacje są zaprogramowane do robienia zdjęć i wyliczania plików z określonych katalogów powiązanych ze zrzutami ekranu, WhatsApp, WhatsApp Business, Telegram i zmodyfikowaną wersją WhatsApp znaną jako GBWhatsApp.
Atakujący kładą coraz większy nacisk na ukrywanie się
Przez lata ci cyberprzestępcy dostosowywali swój szkodliwy kod, dodając zaciemnianie, wykrywanie emulatora, ukrywanie adresów C2 i korzystanie z natywnej biblioteki. Głównym celem natywnej biblioteki „defcome-lib.so” jest przechowywanie informacji o serwerze C2 zakodowanych i ukrytych przed narzędziami analizy statycznej. Jeśli zostanie wykryty emulator, aplikacja korzysta z fałszywego serwera C2, aby uniknąć wykrycia.
Niektóre aplikacje są rozprzestrzeniane za pośrednictwem specjalnie utworzonych w tym celu witryn internetowych „chitchat.ngrok.io”, które zawierają łącze do pliku pakietu dla systemu Android „ChitChat.apk” hostowanego w serwisie GitHub. Obecnie nie jest jasne, w jaki sposób ofiary są kierowane do tych aplikacji.
Badacze podają, że dystrybucja rozpoczęła się na dedykowanych stronach internetowych, a następnie przeniosła się nawet do oficjalnego sklepu Google Play. Celem kampanii jest szpiegostwo i jej celem będą prawdopodobnie ofiary w Pakistanie i Indiach.
