XploitSpy Mobile Malware
Nova kampanja zlonamerne programske opreme za Android, imenovana eXotic Visit, je aktivno ciljala na uporabnike v Južni Aziji, zlasti v Indiji in Pakistanu. Ta kampanja je distribuirala zlonamerno programsko opremo prek specializiranih spletnih mest in trgovine Google Play.
Raziskovalci spremljajo to kampanjo od novembra 2021 in niso našli povezave z nobenim znanim akterjem ali skupino groženj. Skupino, ki stoji za tem, so označili za Virtual Invaders.
Nevarne aplikacije, prenesene iz teh virov, ponujajo zakonito funkcionalnost, vendar vsebujejo tudi kodo iz odprtokodnega Android XploitSPY RAT. Ta kampanja se zdi zelo osredotočena, saj imajo aplikacije v Googlu Play zelo malo namestitev, od nič do 45. Kot rezultat ugotovitev raziskave so bile te aplikacije odstranjene s platforme.
Kazalo
Operacija napada je izkoristila številne lažne aplikacije
Zavajajoče aplikacije so še vedno delovale in so se v prvi vrsti predstavljale kot platforme za sporočanje, kot so Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger in Zaangi Chat. Poroča se, da je okoli 380 posameznikov postalo žrtev prenosa teh aplikacij in ustvarjanja računov, ki so jih nameravali uporabiti za sporočanje.
Poleg tega se v okviru kampanje eXotic Visit uporabljajo aplikacije, kot sta Sim Info in Telco DB. Te aplikacije trdijo, da ponujajo informacije o lastnikih kartic SIM s preprostim vnosom pakistanske telefonske številke. Poleg tega se druge aplikacije pretvarjajo, da so služba za dostavo hrane v Pakistanu in zakonita indijska bolnišnica, znana kot specialistična bolnišnica (zdaj preimenovana v bolnišnico Trilife).
Mobilna zlonamerna programska oprema XploitSpy ima širok nabor vsiljivih funkcij
XploitSPY, ki ga je na GitHub že aprila 2020 naložil uporabnik z imenom RaoMK, je povezan z indijskim podjetjem za rešitve kibernetske varnosti, imenovanim XploitWizer. Identificirali so ga kot izpeljanko drugega odprtokodnega trojanca za Android, imenovanega L3MON, ki se sam zgleduje po AhMyth.
Ta zlonamerna programska oprema se ponaša s širokim naborom zmogljivosti, ki ji omogočajo zbiranje občutljivih podatkov iz ogroženih naprav. Zbira lahko lokacije GPS, snema zvok iz mikrofona, dostopa do stikov, sporočil SMS, dnevnikov klicev in vsebine odložišča. Prav tako je sposoben ekstrahirati podrobnosti obvestil iz priljubljenih aplikacij, kot so WhatsApp, Facebook, Instagram in Gmail, ter prenašati in nalagati datoteke, si ogledovati nameščene aplikacije in izvajati ukaze v čakalni vrsti.
Poleg tega so škodljive aplikacije programirane za fotografiranje in oštevilčenje datotek iz določenih imenikov, povezanih s posnetki zaslona, WhatsApp, WhatsApp Business, Telegram in spremenjeno različico WhatsApp, znano kot GBWhatsApp.
Napadalci kažejo povečan poudarek na prikritosti
V preteklih letih so ti akterji groženj prilagodili svojo škodljivo kodo z dodajanjem zakrivanja, zaznavanja emulatorja, skrivanja naslovov C2 in uporabe izvorne knjižnice. Glavni namen izvorne knjižnice 'defcome-lib.so' je ohraniti informacije o strežniku C2 kodirane in skrite pred orodji za statično analizo. Če je zaznan emulator, aplikacija uporabi lažni strežnik C2, da se izogne zaznavanju.
Nekatere aplikacije so bile razširjene prek spletnih mest, posebej ustvarjenih za ta namen, 'chitchat.ngrok.io', ki ponujajo povezavo do datoteke paketa Android, 'ChitChat.apk', ki gostuje na GitHubu. Trenutno ni jasno, kako so žrtve usmerjene na te aplikacije.
Raziskovalci navajajo, da se je distribucija začela na namenskih spletnih mestih in se nato preselila celo v uradno trgovino Google Play. Namen akcije je vohunjenje in bo verjetno usmerjena na žrtve v Pakistanu in Indiji.
