XploitSpy Mobile Malware
O nouă campanie de malware pentru Android, numită eXotic Visit, a vizat în mod activ utilizatorii din Asia de Sud, în special din India și Pakistan. Această campanie a distribuit programe malware prin site-uri web specializate și Magazin Google Play.
Cercetătorii monitorizează această campanie din noiembrie 2021 și nu au găsit nicio legătură cu vreun actor sau grup cunoscut de amenințări. Au etichetat grupul din spatele lui Virtual Invaders.
Aplicațiile amenințătoare descărcate din aceste surse oferă funcționalitate legitimă, dar conțin și cod de la Android XploitSPY RAT open-source. Această campanie pare foarte concentrată, aplicațiile de pe Google Play având foarte puține instalări, variind de la zero la 45. Ca urmare a constatărilor cercetării, aceste aplicații au fost eliminate de pe platformă.
Cuprins
Operațiunea de atac a exploatat numeroase aplicații false
Aplicațiile înșelătoare erau încă funcționale și se prezentau în primul rând ca platforme de mesagerie precum Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger și Zaangi Chat. Se raportează că aproximativ 380 de persoane au căzut victime ale descărcarii acestor aplicații și creării de conturi, intenționând să le folosească pentru mesagerie.
În plus, ca parte a campaniei eXotic Visit, sunt utilizate aplicații precum Sim Info și Telco DB. Aceste aplicații pretind că oferă informații despre deținătorii de carduri SIM prin simpla introducere a unui număr de telefon din Pakistan. Mai mult, alte aplicații pretind a fi un serviciu de livrare a alimentelor în Pakistan și un spital legitim indian cunoscut sub numele de Spitalul de specialitate (acum renumit Spitalul Trilife).
XploitSpy Mobile Malware posedă o gamă largă de funcții intruzive
XploitSPY, încărcat inițial pe GitHub încă din aprilie 2020 de un utilizator numit RaoMK, are legături cu o companie indiană de soluții de securitate cibernetică numită XploitWizer. A fost identificat ca un derivat al unui alt troian Android open-source numit L3MON, care este inspirat de AhMyth.
Acest malware are o gamă largă de capabilități care îi permit să colecteze date sensibile de pe dispozitivele compromise. Poate aduna locații GPS, poate înregistra audio de la microfon, poate accesa contacte, mesaje SMS, jurnalele de apeluri și conținutul clipboard-ului. De asemenea, este capabil să extragă detalii de notificări din aplicații populare precum WhatsApp, Facebook, Instagram și Gmail, precum și să descarce și să încarce fișiere, să vizualizeze aplicațiile instalate și să execute comenzi din coadă.
Mai mult, aplicațiile dăunătoare sunt programate să facă fotografii și să enumere fișiere din directoare specifice asociate cu capturi de ecran, WhatsApp, WhatsApp Business, Telegram și o versiune modificată a WhatsApp cunoscută sub numele de GBWhatsApp.
Atacatorii arată un accent sporit pe stealth
De-a lungul anilor, acești actori de amenințări și-au personalizat codul dăunător adăugând ofuscarea, detectarea emulatorului, ascunderea adreselor C2 și utilizarea unei biblioteci native. Scopul principal al bibliotecii native „defcome-lib.so” este de a menține informațiile serverului C2 codificate și ascunse de instrumentele de analiză statică. Dacă este detectat un emulator, aplicația folosește un server C2 fals pentru a evita detectarea.
Unele dintre aplicații au fost propagate prin site-uri web create special în acest scop, „chitchat.ngrok.io”, care oferă un link către un fișier de pachet Android, „ChitChat.apk” găzduit pe GitHub. În prezent, nu este clar cum sunt direcționate victimele către aceste aplicații.
Cercetătorii afirmă că distribuția a început pe site-uri web dedicate și apoi s-a mutat chiar în magazinul oficial Google Play. Scopul campaniei este spionajul și probabil că va viza victimele din Pakistan și India.
