XploitSpy మొబైల్ మాల్వేర్
ఎక్సోటిక్ విజిట్ పేరుతో కొత్త ఆండ్రాయిడ్ మాల్వేర్ ప్రచారం దక్షిణాసియాలో, ముఖ్యంగా భారతదేశం మరియు పాకిస్తాన్లోని వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుంది. ఈ ప్రచారం ప్రత్యేక వెబ్సైట్లు మరియు Google Play Store ద్వారా మాల్వేర్ను పంపిణీ చేస్తోంది.
పరిశోధకులు నవంబర్ 2021 నుండి ఈ ప్రచారాన్ని పర్యవేక్షిస్తున్నారు మరియు తెలిసిన ఏ బెదిరింపు నటుడు లేదా సమూహానికి ఎటువంటి సంబంధాన్ని కనుగొనలేదు. వారు దాని వెనుక ఉన్న సమూహాన్ని వర్చువల్ ఇన్వేడర్లుగా లేబుల్ చేసారు.
ఈ మూలాధారాల నుండి డౌన్లోడ్ చేయబడిన బెదిరింపు అప్లికేషన్లు చట్టబద్ధమైన కార్యాచరణను అందిస్తాయి కానీ ఓపెన్ సోర్స్ Android XploitSPY RAT నుండి కోడ్ను కూడా కలిగి ఉంటాయి. Google Playలోని అప్లికేషన్లు సున్నా నుండి 45 వరకు చాలా తక్కువ ఇన్స్టాల్లను కలిగి ఉండటంతో ఈ ప్రచారం అత్యంత దృష్టి కేంద్రీకరించినట్లు కనిపిస్తోంది. పరిశోధన ఫలితాల ఫలితంగా, ఈ అప్లికేషన్లు ప్లాట్ఫారమ్ నుండి తీసివేయబడ్డాయి.
విషయ సూచిక
అటాక్ ఆపరేషన్ అనేక నకిలీ అప్లికేషన్లను ఉపయోగించుకుంది
మోసపూరిత అప్లికేషన్లు ఇప్పటికీ పనిచేస్తాయి మరియు ప్రధానంగా ఆల్ఫా చాట్, చిట్చాట్, డెఫ్కామ్, డింక్ మెసెంజర్, సిగ్నల్ లైట్, టాక్యు, వీటాక్, వికర్ మెసెంజర్ మరియు జాంగి చాట్ వంటి మెసేజింగ్ ప్లాట్ఫారమ్లుగా ఉన్నాయి. దాదాపు 380 మంది వ్యక్తులు ఈ అప్లికేషన్లను డౌన్లోడ్ చేయడం మరియు అకౌంట్లను క్రియేట్ చేయడం ద్వారా వాటిని మెసేజింగ్ కోసం ఉపయోగించాలనే ఉద్దేశంతో బాధితులైనట్లు నివేదించబడింది.
అదనంగా, ఎక్సోటిక్ విజిట్ ప్రచారంలో భాగంగా, సిమ్ ఇన్ఫో మరియు టెల్కో డిబి వంటి అప్లికేషన్లు ఉపయోగించబడతాయి. ఈ అప్లికేషన్లు కేవలం పాకిస్తాన్ ఆధారిత ఫోన్ నంబర్ను ఇన్పుట్ చేయడం ద్వారా SIM కార్డ్ యజమానుల గురించి సమాచారాన్ని అందజేస్తాయని పేర్కొంది. ఇంకా, ఇతర అప్లికేషన్లు పాకిస్తాన్లో ఫుడ్ డెలివరీ సర్వీస్గా మరియు స్పెషలిస్ట్ హాస్పిటల్ (ఇప్పుడు ట్రిలైఫ్ హాస్పిటల్గా రీబ్రాండ్ చేయబడింది) అని పిలవబడే చట్టబద్ధమైన భారతీయ ఆసుపత్రిగా నటిస్తున్నాయి.
XploitSpy మొబైల్ మాల్వేర్ విస్తృతమైన అనుచిత విధులను కలిగి ఉంది
XploitSPY, మొదటగా RaoMK అనే వినియోగదారు ద్వారా ఏప్రిల్ 2020 నాటికి GitHubకి అప్లోడ్ చేయబడింది, XploitWizer అనే భారతీయ సైబర్ సెక్యూరిటీ సొల్యూషన్స్ కంపెనీతో సంబంధాలను కలిగి ఉంది. ఇది L3MON అని పిలువబడే మరొక ఓపెన్-సోర్స్ ఆండ్రాయిడ్ ట్రోజన్ యొక్క ఉత్పన్నంగా గుర్తించబడింది, ఇది అహ్మిత్ నుండి ప్రేరణ పొందింది.
ఈ మాల్వేర్ విస్తృత శ్రేణి సామర్థ్యాలను కలిగి ఉంది, ఇది రాజీపడిన పరికరాల నుండి సున్నితమైన డేటాను సేకరించడానికి వీలు కల్పిస్తుంది. ఇది GPS స్థానాలను సేకరించగలదు, మైక్రోఫోన్ నుండి ఆడియోను రికార్డ్ చేయగలదు, పరిచయాలు, SMS సందేశాలు, కాల్ లాగ్లు మరియు క్లిప్బోర్డ్ విషయాలను యాక్సెస్ చేయగలదు. ఇది WhatsApp, Facebook, Instagram మరియు Gmail వంటి ప్రముఖ యాప్ల నుండి నోటిఫికేషన్ వివరాలను సంగ్రహించగలదు, అలాగే ఫైల్లను డౌన్లోడ్ చేయడం మరియు అప్లోడ్ చేయడం, ఇన్స్టాల్ చేసిన అప్లికేషన్లను వీక్షించడం మరియు క్యూలో ఉన్న ఆదేశాలను అమలు చేయడం వంటివి చేయగలదు.
అంతేకాకుండా, హానికరమైన అప్లికేషన్లు స్క్రీన్షాట్లు, WhatsApp, WhatsApp వ్యాపారం, టెలిగ్రామ్ మరియు GBWhatsAppగా పిలువబడే WhatsApp యొక్క సవరించిన సంస్కరణతో అనుబంధించబడిన నిర్దిష్ట డైరెక్టరీల నుండి ఫోటోలను తీయడానికి మరియు ఫైల్లను లెక్కించడానికి ప్రోగ్రామ్ చేయబడ్డాయి.
దాడి చేసేవారు స్టెల్త్పై ఎక్కువ ప్రాధాన్యతనిస్తారు
సంవత్సరాలుగా, ఈ బెదిరింపు నటులు అస్పష్టత, ఎమ్యులేటర్ గుర్తింపు, C2 చిరునామాలను దాచడం మరియు స్థానిక లైబ్రరీని ఉపయోగించడం ద్వారా వారి నష్టపరిచే కోడ్ను అనుకూలీకరించారు. స్థానిక లైబ్రరీ 'defcome-lib.so' యొక్క ముఖ్య ఉద్దేశ్యం C2 సర్వర్ సమాచారాన్ని ఎన్కోడ్ చేయడం మరియు స్టాటిక్ అనాలిసిస్ సాధనాల నుండి దాచడం. ఎమ్యులేటర్ కనుగొనబడితే, గుర్తింపును తప్పించుకోవడానికి యాప్ నకిలీ C2 సర్వర్ని ఉపయోగిస్తుంది.
కొన్ని అప్లికేషన్లు ఈ ప్రయోజనం కోసం ప్రత్యేకంగా రూపొందించబడిన 'chitchat.ngrok.io' వెబ్సైట్ల ద్వారా ప్రచారం చేయబడ్డాయి, ఇది GitHubలో హోస్ట్ చేయబడిన 'ChitChat.apk' అనే Android ప్యాకేజీ ఫైల్కి లింక్ను అందిస్తుంది. బాధితులు ఈ దరఖాస్తులకు ఎలా మళ్లిస్తారో ప్రస్తుతం స్పష్టంగా తెలియలేదు.
డెడికేటెడ్ వెబ్సైట్లలో పంపిణీ ప్రారంభమై, అధికారిక గూగుల్ ప్లే స్టోర్కు కూడా తరలించినట్లు పరిశోధకులు పేర్కొన్నారు. ప్రచారం యొక్క ఉద్దేశ్యం గూఢచర్యం మరియు ఇది బహుశా పాకిస్తాన్ మరియు భారతదేశంలోని బాధితులను లక్ష్యంగా చేసుకుంటుంది.