XploitSpy Mobile Malware
Uma nova campanha de malware para o Android, chamada eXotic Visit, tem como alvo ativo usuários no Sul da Ásia, particularmente na Índia e no Paquistão. Esta campanha tem distribuído malware através de sites especializados e da Google Play Store.
Os pesquisadores têm monitorado esta campanha desde novembro de 2021 e não encontraram nenhuma conexão com qualquer ator ou grupo de ameaça conhecido. Eles rotularam o grupo por trás disso como Invasores Virtuais.
Os aplicativos ameaçadores baixados dessas fontes oferecem funcionalidades legítimas, mas também contêm código do Android XploitSPY RAT de código aberto. Esta campanha parece altamente focada, com os aplicativos no Google Play tendo muito poucas instalações, variando de zero a 45. Como resultado dos resultados da pesquisa, esses aplicativos foram removidos da plataforma.
Índice
A Operação de Ataque Explorou Vários Aplicativos Falsos
Os aplicativos enganosos ainda funcionavam e se apresentavam principalmente como plataformas de mensagens, como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger e Zaangi Chat. É relatado que cerca de 380 pessoas foram vítimas de download desses aplicativos e criação de contas, com a intenção de usá-los para mensagens.
Além disso, como parte da campanha eXotic Visit, são utilizados aplicativos como Sim Info e Telco DB. Esses aplicativos afirmam oferecer informações sobre os proprietários de cartões SIM, simplesmente inserindo um número de telefone baseado no Paquistão. Além disso, outras aplicações fingem ser um serviço de entrega de comida no Paquistão e um hospital indiano legítimo conhecido como Hospital Especializado (agora rebatizado como Hospital Trilife).
O XploitSpy Mobile Malware Possui uma Ampla Gama de Funções Intrusivas
O XploitSPY, inicialmente carregado no GitHub em abril de 2020 por um usuário chamado RaoMK, tem ligações com uma empresa indiana de soluções de segurança cibernética chamada XploitWizer. Ele foi identificado como um derivado de outro trojan Android de código aberto chamado L3MON, que é inspirado no AhMyth.
Este malware possui uma ampla gama de recursos que permitem coletar dados confidenciais de dispositivos comprometidos. Ele pode coletar localizações GPS, gravar áudio do microfone, acessar contatos, mensagens SMS, registros de chamadas e conteúdo da área de transferência. Também é capaz de extrair detalhes de notificação de aplicativos populares como WhatsApp, Facebook, Instagram e Gmail, bem como baixar e enviar arquivos, visualizar aplicativos instalados e executar comandos na fila.
Além disso, os aplicativos nocivos são programados para tirar fotos e enumerar arquivos de diretórios específicos associados a capturas de tela, WhatsApp, WhatsApp Business, Telegram e uma versão modificada do WhatsApp conhecida como GBWhatsApp.
Os Atacantes Mostram Maior Ênfase na Furtividade
Ao longo dos anos, esses agentes de ameaças personalizaram seus códigos prejudiciais adicionando ofuscação, detecção de emulador, ocultação de endereços C2 e uso de uma biblioteca nativa. O principal objetivo da biblioteca nativa 'defcome-lib.so' é manter as informações do servidor C2 codificadas e ocultadas das ferramentas de análise estática. Se um emulador for detectado, o aplicativo utiliza um servidor C2 falso para evitar a detecção.
Alguns dos aplicativos foram propagados através de sites criados especificamente para esse fim, ‘chitchat.ngrok.io’, que fornece um link para um arquivo de pacote Android, ‘ChitChat.apk’ hospedado no GitHub. Atualmente não está claro como as vítimas são direcionadas para esses aplicativos.
Os pesquisadores afirmam que a distribuição começou em sites dedicados e depois mudou para a loja oficial do Google Play. O objectivo da campanha é a espionagem e provavelmente terá como alvo vítimas no Paquistão e na Índia.
