XploitSpy Mobile Malware
Isang bagong Android malware campaign, na pinangalanang eXotic Visit, ay aktibong nagta-target ng mga user sa South Asia, partikular sa India at Pakistan. Ang kampanyang ito ay namamahagi ng malware sa pamamagitan ng mga dalubhasang website at sa Google Play Store.
Sinusubaybayan ng mga mananaliksik ang kampanyang ito mula noong Nobyembre 2021 at walang nakitang koneksyon sa sinumang kilalang aktor o grupo ng pagbabanta. Binansagan nila ang grupo sa likod nito bilang Virtual Invaders.
Ang mga nagbabantang application na na-download mula sa mga mapagkukunang ito ay nag-aalok ng lehitimong pagpapagana ngunit naglalaman din ng code mula sa open-source na Android XploitSPY RAT. Ang kampanyang ito ay tila lubos na nakatuon, na ang mga application sa Google Play ay may napakakaunting pag-install, mula sa zero hanggang 45. Bilang resulta ng mga natuklasan sa pananaliksik, ang mga application na ito ay inalis mula sa platform.
Talaan ng mga Nilalaman
Ginamit ng Attack Operation ang Maraming Pekeng Application
Ang mga mapanlinlang na application ay gumagana pa rin at pangunahin itong ipinakilala bilang mga platform ng pagmemensahe gaya ng Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger at Zaangi Chat. Iniulat na humigit-kumulang 380 indibidwal ang naging biktima ng pag-download ng mga application na ito at paggawa ng mga account, na naglalayong gamitin ang mga ito para sa pagmemensahe.
Bukod pa rito, bilang bahagi ng kampanyang eXotic Visit, ginagamit ang mga application tulad ng Sim Info at Telco DB. Sinasabi ng mga application na ito na nag-aalok ng impormasyon tungkol sa mga may-ari ng SIM card sa pamamagitan lamang ng pag-input ng isang numero ng telepono na nakabase sa Pakistan. Higit pa rito, ang ibang mga application ay nagpapanggap na isang serbisyo sa paghahatid ng pagkain sa Pakistan at isang lehitimong Indian na ospital na kilala bilang Specialist Hospital (na binago na ngayon bilang Trilife Hospital).
Ang XploitSpy Mobile Malware ay Nagtataglay ng Malawak na Saklaw ng Mga Mapanghimasok na Function
Ang XploitSPY, na unang na-upload sa GitHub noong Abril 2020 ng isang user na nagngangalang RaoMK, ay may kaugnayan sa isang kumpanya ng mga solusyon sa cybersecurity sa India na tinatawag na XploitWizer. Natukoy ito bilang isang derivative ng isa pang open-source na Android trojan na tinatawag na L3MON, na mismo ay inspirasyon ng AhMyth.
Ipinagmamalaki ng malware na ito ang malawak na hanay ng mga kakayahan na nagbibigay-daan dito upang mangolekta ng sensitibong data mula sa mga nakompromisong device. Maaari itong mangalap ng mga lokasyon ng GPS, mag-record ng audio mula sa mikropono, mag-access ng mga contact, mga mensaheng SMS, mga log ng tawag, at mga nilalaman ng clipboard. May kakayahan din itong mag-extract ng mga detalye ng notification mula sa mga sikat na app tulad ng WhatsApp, Facebook, Instagram, at Gmail, pati na rin ang pag-download at pag-upload ng mga file, pagtingin sa mga naka-install na application, at pagpapatupad ng mga naka-queue na command.
Bukod dito, ang mga nakakapinsalang application ay naka-program upang kumuha ng mga larawan at magbilang ng mga file mula sa mga partikular na direktoryo na nauugnay sa mga screenshot, WhatsApp, WhatsApp Business, Telegram, at isang binagong bersyon ng WhatsApp na kilala bilang GBWhatsApp.
Ang mga Attacker ay Nagpapakita ng Mas Mataas na Pagdidiin sa Stealth
Sa buong taon, na-customize ng mga banta na aktor na ito ang kanilang nakakapinsalang code sa pamamagitan ng pagdaragdag ng obfuscation, emulator detection, pagtatago ng mga C2 address, at paggamit ng native library. Ang pangunahing layunin ng katutubong library na 'defcome-lib.so' ay panatilihing naka-encode at nakatago ang impormasyon ng C2 server mula sa mga static na tool sa pagsusuri. Kung may na-detect na emulator, ginagamit ng app ang isang pekeng C2 server para makaiwas sa pagtuklas.
Ang ilan sa mga application ay pinalaganap sa pamamagitan ng mga website na partikular na nilikha para sa layuning ito, 'chitchat.ngrok.io,' na nagbibigay ng link sa isang Android package file, 'ChitChat.apk' na naka-host sa GitHub. Kasalukuyang hindi malinaw kung paano idinidirekta ang mga biktima sa mga application na ito.
Sinasabi ng mga mananaliksik na nagsimula ang pamamahagi sa mga nakalaang website at pagkatapos ay inilipat pa sa opisyal na Google Play store. Ang layunin ng kampanya ay espionage at malamang na target nito ang mga biktima sa Pakistan at India.
