Malware XploitSpy Mobile

Një fushatë e re malware Android, e quajtur Vizita eXotic, ka synuar në mënyrë aktive përdoruesit në Azinë Jugore, veçanërisht në Indi dhe Pakistan. Kjo fushatë ka shpërndarë malware përmes faqeve të specializuara të internetit dhe Google Play Store.

Studiuesit e kanë monitoruar këtë fushatë që nga nëntori 2021 dhe nuk kanë gjetur asnjë lidhje me ndonjë aktor apo grup të njohur kërcënimi. Ata e kanë etiketuar grupin pas tij si Virtual Invaders.

Aplikacionet kërcënuese të shkarkuara nga këto burime ofrojnë funksionalitet legjitim, por gjithashtu përmbajnë kod nga Android XploitSPY RAT me burim të hapur. Kjo fushatë duket shumë e fokusuar, ku aplikacionet në Google Play kanë shumë pak instalime, duke filluar nga zero në 45. Si rezultat i gjetjeve të hulumtimit, këto aplikacione janë hequr nga platforma.

Operacioni i Sulmit shfrytëzoi shumë aplikacione të rreme

Aplikacionet mashtruese ishin ende funksionale dhe kryesisht paraqiteshin si platforma mesazhesh si Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger dhe Zaangi Chat. Është raportuar se rreth 380 individë kanë rënë viktimë e shkarkimit të këtyre aplikacioneve dhe krijimit të llogarive, duke synuar t'i përdorin ato për mesazhe.

Për më tepër, si pjesë e fushatës eXotic Visit, përdoren aplikacione si Sim Info dhe Telco DB. Këto aplikacione pretendojnë se ofrojnë informacion për pronarët e kartave SIM duke futur thjesht një numër telefoni me bazë në Pakistan. Për më tepër, aplikacione të tjera pretendojnë të jenë një shërbim shpërndarjeje ushqimi në Pakistan dhe një spital legjitim indian i njohur si Spitali Special (tani i riemërtuar si Spitali Trilife).

Malware XploitSpy Mobile zotëron një gamë të gjerë funksionesh ndërhyrëse

XploitSPY, i ngarkuar fillimisht në GitHub që në prill 2020 nga një përdorues i quajtur RaoMK, ka lidhje me një kompani indiane të zgjidhjeve të sigurisë kibernetike të quajtur XploitWizer. Është identifikuar si një derivat i një tjetër trojan Android me burim të hapur të quajtur L3MON, i cili vetë është frymëzuar nga AhMyth.

Ky malware krenohet me një gamë të gjerë aftësish që i mundësojnë të mbledhë të dhëna të ndjeshme nga pajisjet e komprometuara. Mund të mbledhë vendndodhje GPS, të regjistrojë audio nga mikrofoni, të aksesojë kontaktet, mesazhet SMS, regjistrat e thirrjeve dhe përmbajtjen e kujtesës. Është gjithashtu në gjendje të nxjerrë detaje të njoftimeve nga aplikacionet e njohura si WhatsApp, Facebook, Instagram dhe Gmail, si dhe të shkarkojë dhe ngarkojë skedarë, të shikojë aplikacionet e instaluara dhe të ekzekutojë komanda në radhë.

Për më tepër, aplikacionet e dëmshme janë programuar për të marrë fotografi dhe për të numëruar skedarë nga drejtori specifike të lidhura me pamjet e ekranit, WhatsApp, WhatsApp Business, Telegram dhe një version të modifikuar të WhatsApp të njohur si GBWhatsApp.

Sulmuesit tregojnë një theks të shtuar në vjedhjen

Përgjatë viteve, këta aktorë kërcënimi kanë përshtatur kodin e tyre të dëmshëm duke shtuar turbullim, zbulim emulator, fshehje të adresave C2 dhe përdorimin e një biblioteke vendase. Qëllimi kryesor i bibliotekës vendase 'defcome-lib.so' është të mbajë informacionin e serverit C2 të koduar dhe të fshehur nga mjetet e analizës statike. Nëse zbulohet një emulator, aplikacioni përdor një server të rremë C2 për të shmangur zbulimin.

Disa nga aplikacionet janë përhapur përmes faqeve të internetit të krijuara posaçërisht për këtë qëllim, 'chitchat.ngrok.io', e cila ofron një lidhje me një skedar pakete Android, 'ChitChat.apk' të vendosur në GitHub. Aktualisht nuk është e qartë se si drejtohen viktimat në këto aplikacione.

Studiuesit thonë se shpërndarja filloi në faqet e internetit të dedikuara dhe më pas u zhvendos në dyqanin zyrtar të Google Play. Qëllimi i fushatës është spiunazhi dhe ndoshta do të synojë viktimat në Pakistan dhe Indi.