XploitSpy Mobil Kötü Amaçlı Yazılım
eXotic Visit adlı yeni bir Android kötü amaçlı yazılım kampanyası, aktif olarak Güney Asya'daki, özellikle Hindistan ve Pakistan'daki kullanıcıları hedefliyor. Bu kampanya, özel web siteleri ve Google Play Store aracılığıyla kötü amaçlı yazılım dağıtıyor.
Araştırmacılar bu kampanyayı Kasım 2021'den beri izliyor ve bilinen herhangi bir tehdit aktörü veya grubuyla hiçbir bağlantı bulamadılar. Arkasındaki grubu Sanal İstilacılar olarak etiketlediler.
Bu kaynaklardan indirilen tehdit edici uygulamalar meşru işlevsellik sunar ancak aynı zamanda açık kaynaklı Android XploitSPY RAT'tan gelen kodları da içerir. Google Play'deki uygulamaların sıfır ile 45 arasında değişen çok az sayıda yüklemeye sahip olduğu bu kampanya oldukça odaklanmış görünüyor. Araştırma bulguları sonucunda bu uygulamalar platformdan kaldırıldı.
İçindekiler
Saldırı Operasyonunda Çok Sayıda Sahte Uygulama Kullanıldı
Aldatıcı uygulamalar hâlâ işlevseldi ve öncelikli olarak Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ve Zaangi Chat gibi mesajlaşma platformları olarak kullanılıyordu. Yaklaşık 380 kişinin bu uygulamaları indirerek hesap oluşturma ve mesajlaşma amaçlı kullanmak amacıyla mağdur olduğu belirtildi.
Ayrıca eXotic Visit kampanyası kapsamında Sim Info ve Telco DB gibi uygulamalardan faydalanılıyor. Bu uygulamalar, yalnızca Pakistan merkezli bir telefon numarası girerek SIM kart sahipleri hakkında bilgi sunduğunu iddia ediyor. Ayrıca, diğer uygulamalar Pakistan'da bir yemek dağıtım hizmeti ve Uzman Hastane (artık Trilife Hastanesi olarak yeniden adlandırılmıştır) olarak bilinen meşru bir Hint hastanesi gibi görünüyor.
XploitSpy Mobil Kötü Amaçlı Yazılım Çok Çeşitli İzinsiz İşlevlere Sahiptir
RaoMK adlı bir kullanıcı tarafından ilk olarak Nisan 2020 gibi erken bir tarihte GitHub'a yüklenen XploitSPY'nin, XploitWizer adlı Hintli bir siber güvenlik çözümleri şirketiyle bağları var. AhMyth'ten ilham alan L3MON adlı başka bir açık kaynaklı Android truva atının türevi olduğu belirlendi.
Bu kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazlardan hassas verileri toplamasına olanak tanıyan geniş bir yetenek yelpazesine sahiptir. GPS konumlarını toplayabilir, mikrofondan ses kaydedebilir, kişilere, SMS mesajlarına, arama kayıtlarına ve pano içeriğine erişebilir. Ayrıca WhatsApp, Facebook, Instagram ve Gmail gibi popüler uygulamalardan bildirim ayrıntılarını çıkarma, dosya indirme ve yükleme, yüklü uygulamaları görüntüleme ve sıraya alınmış komutları yürütme yeteneğine de sahiptir.
Üstelik zararlı uygulamalar, ekran görüntüleri, WhatsApp, WhatsApp Business, Telegram ve WhatsApp'ın GBWhatsApp olarak bilinen değiştirilmiş bir sürümüyle ilişkili belirli dizinlerden fotoğraf çekecek ve dosyaları numaralandıracak şekilde programlanmıştır.
Saldırganlar Gizliliğe Artan Önem Gösteriyor
Yıllar boyunca bu tehdit aktörleri, gizleme, öykünücü tespiti, C2 adreslerinin gizlenmesi ve yerel kitaplık kullanımı ekleyerek zarar veren kodlarını özelleştirdiler. 'defcome-lib.so' yerel kütüphanesinin temel amacı, C2 sunucusu bilgilerini kodlanmış ve statik analiz araçlarından gizli tutmaktır. Bir emülatör tespit edilirse uygulama, tespitten kaçınmak için sahte bir C2 sunucusundan yararlanır.
Uygulamalardan bazıları, GitHub'da barındırılan 'ChitChat.apk' Android paket dosyasına bağlantı sağlayan, bu amaç için özel olarak oluşturulmuş 'chitchat.ngrok.io' web siteleri aracılığıyla yayılmıştır. Mağdurların bu uygulamalara nasıl yönlendirildiği henüz belli değil.
Araştırmacılar, dağıtımın özel web sitelerinde başladığını, hatta daha sonra resmi Google Play mağazasına taşındığını belirtiyor. Kampanyanın amacı casusluktur ve muhtemelen Pakistan ve Hindistan'daki kurbanları hedef alacaktır.
