XploitSpy Mobile Malware
Nová kampaň proti malvéru pre Android s názvom eXotic Visit sa aktívne zameriava na používateľov v južnej Ázii, najmä v Indii a Pakistane. Táto kampaň šírila malvér prostredníctvom špecializovaných webových stránok a obchodu Google Play.
Výskumníci monitorovali túto kampaň od novembra 2021 a nenašli žiadne spojenie so žiadnym známym hroziacim aktérom alebo skupinou. Skupinu za tým označili ako Virtual Invaders.
Hrozivé aplikácie stiahnuté z týchto zdrojov ponúkajú legitímne funkcie, ale obsahujú aj kód z open source Android XploitSPY RAT. Zdá sa, že táto kampaň je veľmi zameraná, pričom aplikácie na Google Play majú veľmi málo inštalácií, v rozsahu od nuly do 45. V dôsledku zistení výskumu boli tieto aplikácie z platformy odstránené.
Obsah
Útočná operácia využila množstvo falošných aplikácií
Klamlivé aplikácie boli stále funkčné a primárne predstavovali platformy na odosielanie správ, ako sú Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger a Zaangi Chat. Uvádza sa, že približne 380 jednotlivcov sa stalo obeťou sťahovania týchto aplikácií a vytvárania účtov, ktoré majú v úmysle použiť ich na odosielanie správ.
Okrem toho sa v rámci kampane eXotic Visit využívajú aplikácie ako Sim Info a Telco DB. Tieto aplikácie tvrdia, že ponúkajú informácie o vlastníkoch SIM kariet jednoduchým zadaním telefónneho čísla z Pakistanu. Okrem toho iné aplikácie predstierajú, že sú službou donášky jedla v Pakistane a legitímnou indickou nemocnicou známou ako špecializovaná nemocnica (teraz premenovaná na Trilife Hospital).
XploitSpy Mobile Malware má širokú škálu rušivých funkcií
XploitSPY, pôvodne nahraný na GitHub už v apríli 2020 používateľom menom RaoMK, má väzby na indickú spoločnosť zaoberajúcu sa riešením kybernetickej bezpečnosti s názvom XploitWizer. Bol identifikovaný ako derivát iného open source trójskeho koňa pre Android s názvom L3MON, ktorý je sám inšpirovaný AhMyth.
Tento malvér sa môže pochváliť širokou škálou možností, ktoré mu umožňujú zhromažďovať citlivé údaje z napadnutých zariadení. Dokáže zhromažďovať polohy GPS, nahrávať zvuk z mikrofónu, pristupovať ku kontaktom, správam SMS, protokolom hovorov a obsahu schránky. Je tiež schopný extrahovať podrobnosti upozornení z populárnych aplikácií, ako sú WhatsApp, Facebook, Instagram a Gmail, ako aj sťahovať a nahrávať súbory, prezerať nainštalované aplikácie a vykonávať príkazy vo fronte.
Okrem toho sú škodlivé aplikácie naprogramované tak, aby fotografovali a menovali súbory z konkrétnych adresárov spojených so snímkami obrazovky, WhatsApp, WhatsApp Business, Telegram a upravenej verzie WhatsApp známej ako GBWhatsApp.
Útočníci kladú zvýšený dôraz na utajenie
V priebehu rokov títo aktéri hrozieb prispôsobovali svoj škodlivý kód pridaním zahmlievania, detekcie emulátora, skrývania adries C2 a používania natívnej knižnice. Hlavným účelom natívnej knižnice 'defcome-lib.so' je udržať informácie o serveri C2 zakódované a skryté pred nástrojmi statickej analýzy. Ak sa zistí emulátor, aplikácia použije falošný server C2, aby sa vyhla detekcii.
Niektoré z aplikácií boli propagované prostredníctvom webových stránok špeciálne vytvorených na tento účel, 'chitchat.ngrok.io', ktoré poskytujú odkaz na súbor balíka pre Android, 'ChitChat.apk' hostený na GitHub. V súčasnosti nie je jasné, ako sú obete smerované k týmto aplikáciám.
Výskumníci uvádzajú, že distribúcia začala na vyhradených webových stránkach a potom sa dokonca presunula do oficiálneho obchodu Google Play. Účelom kampane je špionáž a pravdepodobne sa zameria na obete v Pakistane a Indii.
