XploitSpy మొబైల్ మాల్వేర్

ఎక్సోటిక్ విజిట్ పేరుతో కొత్త ఆండ్రాయిడ్ మాల్వేర్ ప్రచారం దక్షిణాసియాలో, ముఖ్యంగా భారతదేశం మరియు పాకిస్తాన్‌లోని వినియోగదారులను చురుకుగా లక్ష్యంగా చేసుకుంది. ఈ ప్రచారం ప్రత్యేక వెబ్‌సైట్‌లు మరియు Google Play Store ద్వారా మాల్వేర్‌ను పంపిణీ చేస్తోంది.

పరిశోధకులు నవంబర్ 2021 నుండి ఈ ప్రచారాన్ని పర్యవేక్షిస్తున్నారు మరియు తెలిసిన ఏ బెదిరింపు నటుడు లేదా సమూహానికి ఎటువంటి సంబంధాన్ని కనుగొనలేదు. వారు దాని వెనుక ఉన్న సమూహాన్ని వర్చువల్ ఇన్‌వేడర్‌లుగా లేబుల్ చేసారు.

ఈ మూలాధారాల నుండి డౌన్‌లోడ్ చేయబడిన బెదిరింపు అప్లికేషన్‌లు చట్టబద్ధమైన కార్యాచరణను అందిస్తాయి కానీ ఓపెన్ సోర్స్ Android XploitSPY RAT నుండి కోడ్‌ను కూడా కలిగి ఉంటాయి. Google Playలోని అప్లికేషన్‌లు సున్నా నుండి 45 వరకు చాలా తక్కువ ఇన్‌స్టాల్‌లను కలిగి ఉండటంతో ఈ ప్రచారం అత్యంత దృష్టి కేంద్రీకరించినట్లు కనిపిస్తోంది. పరిశోధన ఫలితాల ఫలితంగా, ఈ అప్లికేషన్‌లు ప్లాట్‌ఫారమ్ నుండి తీసివేయబడ్డాయి.

అటాక్ ఆపరేషన్ అనేక నకిలీ అప్లికేషన్లను ఉపయోగించుకుంది

మోసపూరిత అప్లికేషన్‌లు ఇప్పటికీ పనిచేస్తాయి మరియు ప్రధానంగా ఆల్ఫా చాట్, చిట్‌చాట్, డెఫ్‌కామ్, డింక్ మెసెంజర్, సిగ్నల్ లైట్, టాక్‌యు, వీటాక్, వికర్ మెసెంజర్ మరియు జాంగి చాట్ వంటి మెసేజింగ్ ప్లాట్‌ఫారమ్‌లుగా ఉన్నాయి. దాదాపు 380 మంది వ్యక్తులు ఈ అప్లికేషన్‌లను డౌన్‌లోడ్ చేయడం మరియు అకౌంట్‌లను క్రియేట్ చేయడం ద్వారా వాటిని మెసేజింగ్ కోసం ఉపయోగించాలనే ఉద్దేశంతో బాధితులైనట్లు నివేదించబడింది.

అదనంగా, ఎక్సోటిక్ విజిట్ ప్రచారంలో భాగంగా, సిమ్ ఇన్ఫో మరియు టెల్కో డిబి వంటి అప్లికేషన్‌లు ఉపయోగించబడతాయి. ఈ అప్లికేషన్‌లు కేవలం పాకిస్తాన్ ఆధారిత ఫోన్ నంబర్‌ను ఇన్‌పుట్ చేయడం ద్వారా SIM కార్డ్ యజమానుల గురించి సమాచారాన్ని అందజేస్తాయని పేర్కొంది. ఇంకా, ఇతర అప్లికేషన్‌లు పాకిస్తాన్‌లో ఫుడ్ డెలివరీ సర్వీస్‌గా మరియు స్పెషలిస్ట్ హాస్పిటల్ (ఇప్పుడు ట్రిలైఫ్ హాస్పిటల్‌గా రీబ్రాండ్ చేయబడింది) అని పిలవబడే చట్టబద్ధమైన భారతీయ ఆసుపత్రిగా నటిస్తున్నాయి.

XploitSpy మొబైల్ మాల్వేర్ విస్తృతమైన అనుచిత విధులను కలిగి ఉంది

XploitSPY, మొదటగా RaoMK అనే వినియోగదారు ద్వారా ఏప్రిల్ 2020 నాటికి GitHubకి అప్‌లోడ్ చేయబడింది, XploitWizer అనే భారతీయ సైబర్ సెక్యూరిటీ సొల్యూషన్స్ కంపెనీతో సంబంధాలను కలిగి ఉంది. ఇది L3MON అని పిలువబడే మరొక ఓపెన్-సోర్స్ ఆండ్రాయిడ్ ట్రోజన్ యొక్క ఉత్పన్నంగా గుర్తించబడింది, ఇది అహ్‌మిత్ నుండి ప్రేరణ పొందింది.

ఈ మాల్వేర్ విస్తృత శ్రేణి సామర్థ్యాలను కలిగి ఉంది, ఇది రాజీపడిన పరికరాల నుండి సున్నితమైన డేటాను సేకరించడానికి వీలు కల్పిస్తుంది. ఇది GPS స్థానాలను సేకరించగలదు, మైక్రోఫోన్ నుండి ఆడియోను రికార్డ్ చేయగలదు, పరిచయాలు, SMS సందేశాలు, కాల్ లాగ్‌లు మరియు క్లిప్‌బోర్డ్ విషయాలను యాక్సెస్ చేయగలదు. ఇది WhatsApp, Facebook, Instagram మరియు Gmail వంటి ప్రముఖ యాప్‌ల నుండి నోటిఫికేషన్ వివరాలను సంగ్రహించగలదు, అలాగే ఫైల్‌లను డౌన్‌లోడ్ చేయడం మరియు అప్‌లోడ్ చేయడం, ఇన్‌స్టాల్ చేసిన అప్లికేషన్‌లను వీక్షించడం మరియు క్యూలో ఉన్న ఆదేశాలను అమలు చేయడం వంటివి చేయగలదు.

అంతేకాకుండా, హానికరమైన అప్లికేషన్‌లు స్క్రీన్‌షాట్‌లు, WhatsApp, WhatsApp వ్యాపారం, టెలిగ్రామ్ మరియు GBWhatsAppగా పిలువబడే WhatsApp యొక్క సవరించిన సంస్కరణతో అనుబంధించబడిన నిర్దిష్ట డైరెక్టరీల నుండి ఫోటోలను తీయడానికి మరియు ఫైల్‌లను లెక్కించడానికి ప్రోగ్రామ్ చేయబడ్డాయి.

దాడి చేసేవారు స్టెల్త్‌పై ఎక్కువ ప్రాధాన్యతనిస్తారు

సంవత్సరాలుగా, ఈ బెదిరింపు నటులు అస్పష్టత, ఎమ్యులేటర్ గుర్తింపు, C2 చిరునామాలను దాచడం మరియు స్థానిక లైబ్రరీని ఉపయోగించడం ద్వారా వారి నష్టపరిచే కోడ్‌ను అనుకూలీకరించారు. స్థానిక లైబ్రరీ 'defcome-lib.so' యొక్క ముఖ్య ఉద్దేశ్యం C2 సర్వర్ సమాచారాన్ని ఎన్‌కోడ్ చేయడం మరియు స్టాటిక్ అనాలిసిస్ సాధనాల నుండి దాచడం. ఎమ్యులేటర్ కనుగొనబడితే, గుర్తింపును తప్పించుకోవడానికి యాప్ నకిలీ C2 సర్వర్‌ని ఉపయోగిస్తుంది.

కొన్ని అప్లికేషన్‌లు ఈ ప్రయోజనం కోసం ప్రత్యేకంగా రూపొందించబడిన 'chitchat.ngrok.io' వెబ్‌సైట్‌ల ద్వారా ప్రచారం చేయబడ్డాయి, ఇది GitHubలో హోస్ట్ చేయబడిన 'ChitChat.apk' అనే Android ప్యాకేజీ ఫైల్‌కి లింక్‌ను అందిస్తుంది. బాధితులు ఈ దరఖాస్తులకు ఎలా మళ్లిస్తారో ప్రస్తుతం స్పష్టంగా తెలియలేదు.

డెడికేటెడ్ వెబ్‌సైట్‌లలో పంపిణీ ప్రారంభమై, అధికారిక గూగుల్ ప్లే స్టోర్‌కు కూడా తరలించినట్లు పరిశోధకులు పేర్కొన్నారు. ప్రచారం యొక్క ఉద్దేశ్యం గూఢచర్యం మరియు ఇది బహుశా పాకిస్తాన్ మరియు భారతదేశంలోని బాధితులను లక్ష్యంగా చేసుకుంటుంది.