Мобильное вредоносное ПО XploitSpy
Новая кампания по вредоносному ПО для Android под названием eXotic Visit активно нацелена на пользователей в Южной Азии, особенно в Индии и Пакистане. Эта кампания распространяла вредоносное ПО через специализированные сайты и магазин Google Play.
Исследователи следят за этой кампанией с ноября 2021 года и не обнаружили никакой связи с каким-либо известным злоумышленником или группой. Они назвали стоящую за этим группу Virtual Invaders.
Угрожающие приложения, загруженные из этих источников, предлагают законную функциональность, но также содержат код из Android XploitSPY RAT с открытым исходным кодом. Эта кампания кажется очень целенаправленной: приложения в Google Play имеют очень мало установок – от нуля до 45. По результатам исследования эти приложения были удалены с платформы.
Оглавление
В ходе атаки было использовано множество поддельных приложений
Мошеннические приложения все еще функционировали и в основном представляли собой платформы обмена сообщениями, такие как Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger и Zaangi Chat. Сообщается, что около 380 человек стали жертвами загрузки этих приложений и создания учетных записей, намереваясь использовать их для обмена сообщениями.
Кроме того, в рамках кампании eXotic Visit используются такие приложения, как Sim Info и Telco DB. Эти приложения утверждают, что предоставляют информацию о владельцах SIM-карт путем простого ввода номера телефона в Пакистане. Кроме того, другие приложения выдают себя за службу доставки еды в Пакистане и законную индийскую больницу, известную как Specialist Hospital (теперь переименованную в Trilife Hospital).
Мобильная вредоносная программа XploitSpy обладает широким набором интрузивных функций
XploitSPY, первоначально загруженный на GitHub еще в апреле 2020 года пользователем RaoMK, связан с индийской компанией по разработке решений в области кибербезопасности под названием XploitWizer. Он был идентифицирован как производное от другого трояна Android с открытым исходным кодом под названием L3MON, который сам по себе вдохновлен AhMyth.
Это вредоносное ПО обладает широким спектром возможностей, позволяющих собирать конфиденциальные данные со скомпрометированных устройств. Он может собирать местоположения GPS, записывать звук с микрофона, получать доступ к контактам, SMS-сообщениям, журналам вызовов и содержимому буфера обмена. Он также способен извлекать детали уведомлений из популярных приложений, таких как WhatsApp, Facebook, Instagram и Gmail, а также загружать и выгружать файлы, просматривать установленные приложения и выполнять команды в очереди.
Более того, вредоносные приложения запрограммированы на фотографирование и перечисление файлов из определенных каталогов, связанных со скриншотами, WhatsApp, WhatsApp Business, Telegram и модифицированной версией WhatsApp, известной как GBWhatsApp.
Злоумышленники уделяют повышенное внимание скрытности
На протяжении многих лет эти злоумышленники модифицировали свой вредоносный код, добавляя обфускацию, обнаружение эмулятора, сокрытие адресов C2 и использование собственной библиотеки. Основная цель встроенной библиотеки defcome-lib.so — сохранить закодированную информацию о сервере C2 и скрыть ее от инструментов статического анализа. Если эмулятор обнаружен, приложение использует поддельный сервер C2, чтобы избежать обнаружения.
Некоторые приложения распространялись через специально созданные для этой цели веб-сайты «chitchat.ngrok.io», на которых имеется ссылка на файл пакета Android «ChitChat.apk», размещенный на GitHub. На данный момент неясно, как жертвы направляются к этим приложениям.
Исследователи утверждают, что распространение началось на специализированных сайтах, а затем даже перешло в официальный магазин Google Play. Целью кампании является шпионаж, и она, вероятно, будет нацелена на жертв в Пакистане и Индии.
