XploitSpy மொபைல் மால்வேர்

எக்ஸோடிக் விசிட் என பெயரிடப்பட்ட புதிய ஆண்ட்ராய்டு மால்வேர் பிரச்சாரம் தெற்காசியாவில் குறிப்பாக இந்தியா மற்றும் பாகிஸ்தானில் உள்ள பயனர்களை குறிவைத்து வருகிறது. இந்த பிரச்சாரம் சிறப்பு இணையதளங்கள் மற்றும் Google Play Store மூலம் தீம்பொருளை விநியோகிக்கிறது.

நவம்பர் 2021 முதல் இந்த பிரச்சாரத்தை ஆராய்ச்சியாளர்கள் கண்காணித்து வருகின்றனர், மேலும் அறியப்பட்ட எந்த அச்சுறுத்தல் நடிகர் அல்லது குழுவுடன் எந்த தொடர்பும் இல்லை. அவர்கள் அதன் பின்னால் உள்ள குழுவை மெய்நிகர் படையெடுப்பாளர்கள் என்று முத்திரை குத்தியுள்ளனர்.

இந்த ஆதாரங்களில் இருந்து பதிவிறக்கம் செய்யப்பட்ட அச்சுறுத்தும் பயன்பாடுகள் முறையான செயல்பாட்டை வழங்குகின்றன, ஆனால் திறந்த மூல Android XploitSPY RAT இன் குறியீட்டையும் கொண்டுள்ளது. பூஜ்ஜியத்திலிருந்து 45 வரையிலான நிறுவல்களைக் கொண்ட கூகுள் ப்ளேயில் உள்ள பயன்பாடுகளில் இந்த பிரச்சாரம் அதிக கவனம் செலுத்துகிறது.

அட்டாக் ஆபரேஷன் பல போலி அப்ளிகேஷன்களைப் பயன்படுத்திக் கொண்டது

ஏமாற்றும் பயன்பாடுகள் இன்னும் செயல்பாட்டுடன் இருந்தன மற்றும் முதன்மையாக Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger மற்றும் Zaangi Chat போன்ற செய்தியிடல் தளங்களாகக் காட்டப்படுகின்றன. இந்த அப்ளிகேஷன்களை டவுன்லோட் செய்து கணக்குகளை உருவாக்கி, மெசேஜிங்கிற்கு பயன்படுத்த எண்ணி சுமார் 380 நபர்கள் பலியாகி இருப்பதாக தெரிவிக்கப்பட்டுள்ளது.

கூடுதலாக, எக்ஸோடிக் விசிட் பிரச்சாரத்தின் ஒரு பகுதியாக, சிம் இன்ஃபோ மற்றும் டெல்கோ டிபி போன்ற பயன்பாடுகள் பயன்படுத்தப்படுகின்றன. இந்த அப்ளிகேஷன்கள் சிம் கார்டு வைத்திருப்பவர்கள் பற்றிய தகவல்களை பாகிஸ்தானை சார்ந்த ஃபோன் எண்ணை உள்ளீடு செய்வதன் மூலம் வழங்குவதாக கூறுகின்றன. மேலும், பிற பயன்பாடுகள் பாகிஸ்தானில் உணவு விநியோக சேவையாகவும், சிறப்பு மருத்துவமனை (தற்போது ட்ரைலைஃப் மருத்துவமனை என மறுபெயரிடப்பட்டுள்ளது) எனப்படும் சட்டப்பூர்வமான இந்திய மருத்துவமனையாகவும் நடிக்கின்றன.

XploitSpy மொபைல் மால்வேர் பரந்த அளவிலான ஊடுருவும் செயல்பாடுகளைக் கொண்டுள்ளது

XploitSPY, ஆரம்பத்தில் ஏப்ரல் 2020 இல் ராவ்எம்கே என்ற பயனரால் GitHub இல் பதிவேற்றப்பட்டது, XploitWizer எனப்படும் இந்திய இணைய பாதுகாப்பு தீர்வுகள் நிறுவனத்துடன் தொடர்பு கொண்டுள்ளது. இது L3MON எனப்படும் மற்றொரு திறந்த மூல ஆண்ட்ராய்டு ட்ரோஜனின் வழித்தோன்றலாக அடையாளம் காணப்பட்டுள்ளது, இது AhMyth ஆல் ஈர்க்கப்பட்டது.

இந்த மால்வேர், சமரசம் செய்யப்பட்ட சாதனங்களிலிருந்து முக்கியமான தரவைச் சேகரிக்க உதவும் பரந்த அளவிலான திறன்களைக் கொண்டுள்ளது. இது ஜிபிஎஸ் இருப்பிடங்களைச் சேகரிக்கலாம், மைக்ரோஃபோனிலிருந்து ஆடியோவைப் பதிவுசெய்யலாம், தொடர்புகள், எஸ்எம்எஸ் செய்திகள், அழைப்புப் பதிவுகள் மற்றும் கிளிப்போர்டு உள்ளடக்கங்களை அணுகலாம். இது வாட்ஸ்அப், பேஸ்புக், இன்ஸ்டாகிராம் மற்றும் ஜிமெயில் போன்ற பிரபலமான பயன்பாடுகளிலிருந்து அறிவிப்பு விவரங்களைப் பிரித்தெடுக்கும் திறன் கொண்டது, அத்துடன் கோப்புகளைப் பதிவிறக்கம் செய்து பதிவேற்றுவது, நிறுவப்பட்ட பயன்பாடுகளைப் பார்ப்பது மற்றும் வரிசைப்படுத்தப்பட்ட கட்டளைகளை இயக்குவது.

மேலும், தீங்கிழைக்கும் அப்ளிகேஷன்கள் ஸ்கிரீன்ஷாட்கள், வாட்ஸ்அப், வாட்ஸ்அப் பிசினஸ், டெலிகிராம் மற்றும் GBWhatsApp எனப்படும் வாட்ஸ்அப்பின் மாற்றியமைக்கப்பட்ட பதிப்பு ஆகியவற்றுடன் தொடர்புடைய குறிப்பிட்ட கோப்பகங்களில் இருந்து புகைப்படங்களை எடுக்கவும் கோப்புகளை கணக்கிடவும் திட்டமிடப்பட்டுள்ளது.

தாக்குபவர்கள் திருட்டுத்தனத்திற்கு அதிக முக்கியத்துவம் கொடுக்கிறார்கள்

பல ஆண்டுகளாக, இந்த அச்சுறுத்தல் நடிகர்கள் குழப்பம், முன்மாதிரி கண்டறிதல், C2 முகவரிகளை மறைத்தல் மற்றும் சொந்த நூலகத்தைப் பயன்படுத்துவதன் மூலம் தங்கள் சேதப்படுத்தும் குறியீட்டைத் தனிப்பயனாக்கியுள்ளனர். 'defcome-lib.so' என்ற நேட்டிவ் லைப்ரரியின் முக்கிய நோக்கம் C2 சர்வர் தகவலை குறியாக்கம் செய்து நிலையான பகுப்பாய்வு கருவிகளில் இருந்து மறைத்து வைப்பதாகும். எமுலேட்டர் கண்டறியப்பட்டால், கண்டறிதலைத் தவிர்க்க, ஆப்ஸ் போலி C2 சேவையகத்தைப் பயன்படுத்துகிறது.

சில அப்ளிகேஷன்கள் இந்த நோக்கத்திற்காக பிரத்யேகமாக உருவாக்கப்பட்ட 'chitchat.ngrok.io' என்ற இணையதளங்கள் மூலம் பிரச்சாரம் செய்யப்பட்டுள்ளது, இது GitHub இல் ஹோஸ்ட் செய்யப்பட்ட 'ChitChat.apk' என்ற ஆண்ட்ராய்டு தொகுப்பு கோப்பிற்கான இணைப்பை வழங்குகிறது. பாதிக்கப்பட்டவர்கள் இந்த விண்ணப்பங்களுக்கு எவ்வாறு அனுப்பப்படுகிறார்கள் என்பது தற்போது தெளிவாகத் தெரியவில்லை.

பிரத்யேக இணையதளங்களில் விநியோகம் தொடங்கி, பின்னர் அதிகாரப்பூர்வ கூகுள் ப்ளே ஸ்டோருக்கு மாறியதாக ஆராய்ச்சியாளர்கள் கூறுகின்றனர். பிரச்சாரத்தின் நோக்கம் உளவு பார்ப்பது மற்றும் இது பாகிஸ்தானிலும் இந்தியாவிலும் பாதிக்கப்பட்டவர்களை குறிவைத்து இருக்கலாம்.