XploitSpy Mobile Malware
Нова кампања за Андроид малвер, названа еКсотиц Висит, активно циља кориснике у Јужној Азији, посебно у Индији и Пакистану. Ова кампања је дистрибуирала малвер преко специјализованих веб локација и Гоогле Плаи продавнице.
Истраживачи су пратили ову кампању од новембра 2021. године и нису пронашли никакву везу са било којим познатим актером претње или групом. Групу која стоји иза тога означили су као виртуелни освајачи.
Претеће апликације преузете са ових извора нуде легитимну функционалност, али такође садрже код са отвореног кода Андроид КсплоитСПИ РАТ. Ова кампања изгледа веома фокусирана, са апликацијама на Гоогле Плаи-у који имају врло мало инсталација, у распону од нула до 45. Као резултат налаза истраживања, ове апликације су уклоњене са платформе.
Преглед садржаја
Операција Напад је искористила бројне лажне апликације
Варљиве апликације су и даље биле функционалне и првенствено су се представљале као платформе за размену порука као што су Алпха Цхат, ЦхитЦхат, Дефцом, Динк Мессенгер, Сигнал Лите, ТалкУ, ВеТалк, Вицкер Мессенгер и Заанги Цхат. Пријављено је да је око 380 појединаца постало жртва преузимања ових апликација и креирања налога, са намером да их користе за размену порука.
Поред тога, као део кампање еКсотиц Висит, користе се апликације као што су Сим Инфо и Телцо ДБ. Ове апликације тврде да нуде информације о власницима СИМ картица једноставним уносом телефонског броја из Пакистана. Штавише, друге апликације се претварају да су услуга доставе хране у Пакистану и легитимна индијска болница позната као Специјалистичка болница (сада преименована у Трилифе Хоспитал).
КсплоитСпи Мобиле Малваре поседује широк спектар интрузивних функција
КсплоитСПИ, који је корисник по имену РаоМК првобитно учитао на ГитХуб већ у априлу 2020. године, повезан је са индијском компанијом за решења за сајбер безбедност под називом КсплоитВизер. Идентификован је као дериват другог Андроид тројанца отвореног кода под називом Л3МОН, који је и сам инспирисан АхМитхом.
Овај злонамерни софтвер има широк спектар могућности које му омогућавају да прикупља осетљиве податке са компромитованих уређаја. Може да прикупља ГПС локације, снима звук са микрофона, приступа контактима, СМС порукама, евиденцијама позива и садржају међуспремника. Такође је способан да издвоји детаље обавештења из популарних апликација као што су ВхатсАпп, Фацебоок, Инстаграм и Гмаил, као и да преузима и отпрема датотеке, прегледа инсталиране апликације и извршава команде у реду чекања.
Штавише, штетне апликације су програмиране да снимају фотографије и набрајају датотеке из одређених директоријума повезаних са снимцима екрана, ВхатсАпп, ВхатсАпп Бусинесс, Телеграм и модификованом верзијом ВхатсАпп-а познатом као ГБВхатсАпп.
Нападачи показују повећан нагласак на скривености
Током година, ови актери претњи су прилагођавали свој штетни код додавањем замагљивања, откривања емулатора, скривања Ц2 адреса и коришћења матичне библиотеке. Главна сврха матичне библиотеке 'дефцоме-либ.со' је да задржи информације о Ц2 серверу кодираним и скривеним од алата за статичку анализу. Ако се открије емулатор, апликација користи лажни Ц2 сервер да избегне откривање.
Неке од апликација су пропагиране преко веб локација које су посебно креиране за ову сврху, 'цхитцхат.нгрок.ио', која пружа везу до датотеке Андроид пакета, 'ЦхитЦхат.апк' која се налази на ГитХуб-у. Тренутно није јасно како се жртве упућују на ове апликације.
Истраживачи наводе да је дистрибуција почела на наменским веб локацијама, а затим се чак преселила у званичну Гоогле Плаи продавницу. Сврха кампање је шпијунажа и вероватно ће бити усмерена на жртве у Пакистану и Индији.
