XploitSpy mobil skadlig programvara
En ny skadlig kampanj för Android, kallad eXotic Visit, har aktivt riktat in sig på användare i södra Asien, särskilt i Indien och Pakistan. Den här kampanjen har distribuerat skadlig programvara via specialiserade webbplatser och Google Play Butik.
Forskare har övervakat denna kampanj sedan november 2021 och har inte hittat någon koppling till någon känd hotaktör eller grupp. De har stämplat gruppen bakom som Virtual Invaders.
De hotfulla applikationerna som laddas ner från dessa källor erbjuder legitim funktionalitet men innehåller också kod från Android XploitSPY RAT med öppen källkod. Den här kampanjen verkar mycket fokuserad, med applikationerna på Google Play som har väldigt få installationer, från noll till 45. Som ett resultat av forskningsresultaten har dessa applikationer tagits bort från plattformen.
Innehållsförteckning
Attackoperationen utnyttjade många falska ansökningar
De bedrägliga applikationerna var fortfarande funktionella och poserade främst som meddelandeplattformar som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger och Zaangi Chat. Det rapporteras att omkring 380 individer har fallit offer för att ladda ner dessa applikationer och skapa konton, med avsikt att använda dem för meddelanden.
Dessutom, som en del av kampanjen eXotic Visit, används applikationer som Sim Info och Telco DB. Dessa applikationer hävdar att de erbjuder information om SIM-kortägare genom att helt enkelt ange ett Pakistan-baserat telefonnummer. Dessutom utger sig andra applikationer vara en matleveranstjänst i Pakistan och ett legitimt indiskt sjukhus känt som Specialist Hospital (nu omdöpt till Trilife Hospital).
XploitSpy Mobile Malware har ett brett utbud av påträngande funktioner
XploitSPY, som ursprungligen laddades upp till GitHub så tidigt som i april 2020 av en användare som heter RaoMK, har kopplingar till ett indiskt företag för cybersäkerhetslösningar som heter XploitWizer. Det har identifierats som ett derivat av en annan Android-trojan med öppen källkod som heter L3MON, som i sig är inspirerad av AhMyth.
Den här skadliga programvaran har ett brett utbud av möjligheter som gör det möjligt för den att samla in känslig data från komprometterade enheter. Den kan samla in GPS-platser, spela in ljud från mikrofonen, komma åt kontakter, SMS-meddelanden, samtalsloggar och innehåll i urklipp. Det är också kapabelt att extrahera meddelandedetaljer från populära appar som WhatsApp, Facebook, Instagram och Gmail, samt ladda ner och ladda upp filer, visa installerade applikationer och köra kommandon i kö.
Dessutom är de skadliga applikationerna programmerade att ta bilder och räkna upp filer från specifika kataloger associerade med skärmdumpar, WhatsApp, WhatsApp Business, Telegram och en modifierad version av WhatsApp som kallas GBWhatsApp.
Angripare visar ökad betoning på stealth
Genom åren har dessa hotaktörer anpassat sin skadliga kod genom att lägga till obfuskering, emulatordetektering, döljande av C2-adresser och användning av ett inbyggt bibliotek. Huvudsyftet med det inbyggda biblioteket 'defcome-lib.so' är att hålla C2-serverinformationen kodad och dold från statiska analysverktyg. Om en emulator upptäcks använder appen en falsk C2-server för att undvika upptäckt.
Vissa av applikationerna har spridits via webbplatser som är speciellt skapade för detta ändamål, 'chitchat.ngrok.io', som ger en länk till en Android-paketfil, 'ChitChat.apk' som finns på GitHub. Det är för närvarande inte klart hur offren hänvisas till dessa ansökningar.
Forskare uppger att distributionen startade på dedikerade webbplatser och sedan till och med flyttade till den officiella Google Play-butiken. Syftet med kampanjen är spionage och den kommer troligen att riktas mot offer i Pakistan och Indien.
