มัลแวร์มือถือ XploitSpy

แคมเปญมัลแวร์ Android ตัวใหม่ที่มีชื่อว่า eXotic Visit ได้กำหนดเป้าหมายผู้ใช้ในเอเชียใต้โดยเฉพาะในอินเดียและปากีสถาน แคมเปญนี้ได้เผยแพร่มัลแวร์ผ่านเว็บไซต์พิเศษและ Google Play Store

นักวิจัยได้ติดตามแคมเปญนี้ตั้งแต่เดือนพฤศจิกายน 2564 และไม่พบความเกี่ยวข้องกับผู้ก่อภัยคุกคามหรือกลุ่มใด ๆ ที่รู้จัก พวกเขาตั้งชื่อกลุ่มที่อยู่เบื้องหลังกลุ่มนี้ว่า Virtual Invaders

แอปพลิเคชันคุกคามที่ดาวน์โหลดจากแหล่งเหล่านี้มีฟังก์ชันการทำงานที่ถูกต้องตามกฎหมาย แต่ยังมีโค้ดจาก Android XploitSPY RAT แบบโอเพ่นซอร์สด้วย แคมเปญนี้ดูเหมือนมีการมุ่งเน้นอย่างมาก โดยแอปพลิเคชันบน Google Play มีการติดตั้งน้อยมาก ตั้งแต่ศูนย์ถึง 45 ครั้ง จากผลการวิจัย แอปพลิเคชันเหล่านี้ได้ถูกลบออกจากแพลตฟอร์มแล้ว

ปฏิบัติการโจมตีได้ใช้ประโยชน์จากแอปพลิเคชันปลอมจำนวนมาก

แอปพลิเคชั่นหลอกลวงยังคงใช้งานได้และถูกโพสต์เป็นแพลตฟอร์มการรับส่งข้อความเป็นหลัก เช่น Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger และ Zaangi Chat มีรายงานว่ามีบุคคลประมาณ 380 คนตกเป็นเหยื่อของการดาวน์โหลดแอปพลิเคชันเหล่านี้และสร้างบัญชีโดยตั้งใจจะใช้แอปพลิเคชันเหล่านี้เพื่อส่งข้อความ

นอกจากนี้ ในฐานะที่เป็นส่วนหนึ่งของแคมเปญ eXotic Visit แอปพลิเคชันเช่น Sim Info และ Telco DB ก็ถูกนำมาใช้ แอปพลิเคชันเหล่านี้อ้างว่าให้ข้อมูลเกี่ยวกับเจ้าของซิมการ์ดโดยเพียงแค่ป้อนหมายเลขโทรศัพท์ที่อยู่ในปากีสถาน นอกจากนี้ แอปพลิเคชันอื่นๆ อ้างว่าเป็นบริการจัดส่งอาหารในปากีสถานและโรงพยาบาลอินเดียที่ถูกกฎหมายซึ่งรู้จักกันในชื่อโรงพยาบาลเฉพาะทาง (ปัจจุบันเปลี่ยนชื่อเป็นโรงพยาบาล Trilife)

มัลแวร์ XploitSpy Mobile มีฟังก์ชันล่วงล้ำมากมาย

XploitSPY ซึ่งเริ่มอัปโหลดไปยัง GitHub ในช่วงต้นเดือนเมษายน 2020 โดยผู้ใช้ชื่อ RaoMK มีความเกี่ยวข้องกับบริษัทโซลูชันความปลอดภัยทางไซเบอร์ของอินเดียชื่อ XploitWizer มันถูกระบุว่าเป็นอนุพันธ์ของโทรจัน Android โอเพ่นซอร์สตัวอื่นที่เรียกว่า L3MON ซึ่งตัวมันเองได้รับแรงบันดาลใจจาก AhMyth

มัลแวร์นี้มีความสามารถที่หลากหลายทำให้สามารถรวบรวมข้อมูลที่ละเอียดอ่อนจากอุปกรณ์ที่ถูกบุกรุกได้ สามารถรวบรวมตำแหน่ง GPS บันทึกเสียงจากไมโครโฟน เข้าถึงรายชื่อติดต่อ ข้อความ SMS บันทึกการโทร และเนื้อหาในคลิปบอร์ด นอกจากนี้ยังสามารถดึงรายละเอียดการแจ้งเตือนจากแอปยอดนิยมเช่น WhatsApp, Facebook, Instagram และ Gmail รวมถึงการดาวน์โหลดและอัพโหลดไฟล์ ดูแอปพลิเคชันที่ติดตั้ง และดำเนินการคำสั่งที่อยู่ในคิว

นอกจากนี้ แอปพลิเคชันที่เป็นอันตรายยังได้รับการตั้งโปรแกรมให้ถ่ายภาพและระบุไฟล์จากไดเร็กทอรีเฉพาะที่เกี่ยวข้องกับภาพหน้าจอ, WhatsApp, WhatsApp Business, Telegram และ WhatsApp เวอร์ชันดัดแปลงที่เรียกว่า GBWhatsApp

ผู้โจมตีเน้นย้ำเรื่องการลักลอบมากขึ้น

ตลอดหลายปีที่ผ่านมา ผู้ก่อภัยคุกคามเหล่านี้ได้ปรับแต่งโค้ดที่สร้างความเสียหายโดยเพิ่มการสร้างความสับสน การตรวจจับโปรแกรมจำลอง การซ่อนที่อยู่ C2 และการใช้ไลบรารีดั้งเดิม วัตถุประสงค์หลักของไลบรารีดั้งเดิม 'defcome-lib.so' คือการเก็บข้อมูลเซิร์ฟเวอร์ C2 ที่เข้ารหัสและซ่อนจากเครื่องมือวิเคราะห์แบบคงที่ หากตรวจพบโปรแกรมจำลอง แอปจะใช้เซิร์ฟเวอร์ C2 ปลอมเพื่อหลบเลี่ยงการตรวจจับ

แอปพลิเคชันบางตัวได้รับการเผยแพร่ผ่านเว็บไซต์ที่สร้างขึ้นเพื่อจุดประสงค์นี้โดยเฉพาะ 'chitchat.ngrok.io' ซึ่งมีลิงก์ไปยังไฟล์แพ็คเกจ Android 'ChitChat.apk' ที่โฮสต์บน GitHub ขณะนี้ยังไม่ชัดเจนว่าเหยื่อจะถูกส่งไปยังแอปพลิเคชันเหล่านี้อย่างไร

นักวิจัยระบุว่าการจัดจำหน่ายเริ่มต้นบนเว็บไซต์เฉพาะและจากนั้นก็ย้ายไปยังร้านค้า Google Play อย่างเป็นทางการ วัตถุประสงค์ของการรณรงค์คือการจารกรรมและอาจมุ่งเป้าไปที่เหยื่อในปากีสถานและอินเดีย