XploitSpy Mobile Malware
Нова кампанія зловмисного програмного забезпечення для Android під назвою eXotic Visit активно націлена на користувачів у Південній Азії, зокрема в Індії та Пакистані. Ця кампанія розповсюджувала зловмисне програмне забезпечення через спеціалізовані веб-сайти та магазин Google Play.
Дослідники спостерігали за цією кампанією з листопада 2021 року та не виявили зв’язку з будь-яким відомим загрозливим суб’єктом чи групою. Вони назвали групу, що стоїть за цим, віртуальними загарбниками.
Загрозливі програми, завантажені з цих джерел, пропонують законні функції, але також містять код із відкритого коду Android XploitSPY RAT. Ця кампанія здається дуже цілеспрямованою, оскільки програми в Google Play мають дуже мало встановлень, від нуля до 45. У результаті результатів дослідження ці програми було видалено з платформи.
Зміст
Операція Attack використовувала численні підроблені програми
Оманливі додатки все ще працювали і в основному представлялися як платформи обміну повідомленнями, такі як Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger і Zaangi Chat. Повідомляється, що близько 380 осіб стали жертвами завантаження цих програм і створення облікових записів, які мали намір використовувати їх для обміну повідомленнями.
Крім того, в рамках кампанії eXotic Visit використовуються такі програми, як Sim Info і Telco DB. Ці програми стверджують, що пропонують інформацію про власників SIM-карт, просто ввівши номер телефону в Пакистані. Крім того, інші програми видають себе за службу доставки їжі в Пакистані та законну індійську лікарню, відому як Specialist Hospital (тепер перейменована в Trilife Hospital).
Зловмисне програмне забезпечення для мобільних пристроїв XploitSpy має широкий спектр нав’язливих функцій
XploitSPY, спочатку завантажений на GitHub ще в квітні 2020 року користувачем на ім’я RaoMK, має зв’язки з індійською компанією з рішень кібербезпеки під назвою XploitWizer. Він був ідентифікований як похідний від іншого трояна Android з відкритим вихідним кодом під назвою L3MON, який сам натхненний AhMyth.
Це зловмисне програмне забезпечення має широкий спектр можливостей, що дозволяє збирати конфіденційні дані зі зламаних пристроїв. Він може збирати місцезнаходження GPS, записувати аудіо з мікрофона, отримувати доступ до контактів, SMS-повідомлень, журналів викликів і вмісту буфера обміну. Він також здатний отримувати деталі сповіщень із таких популярних програм, як WhatsApp, Facebook, Instagram і Gmail, а також завантажувати та завантажувати файли, переглядати встановлені програми та виконувати команди в черзі.
Крім того, шкідливі програми запрограмовані на фотографування та перерахування файлів із певних каталогів, пов’язаних зі знімками екрана, WhatsApp, WhatsApp Business, Telegram і модифікованою версією WhatsApp, відомою як GBWhatsApp.
Зловмисники демонструють підвищений наголос на непомітність
Протягом багатьох років ці зловмисники налаштовували свій шкідливий код, додаючи обфускацію, виявлення емулятора, приховуючи адреси C2 і використовуючи власну бібліотеку. Основна мета рідної бібліотеки 'defcome-lib.so' — зберігати інформацію про сервер C2 закодованою та прихованою від інструментів статичного аналізу. Якщо виявлено емулятор, програма використовує підроблений сервер C2, щоб уникнути виявлення.
Деякі програми розповсюджуються через веб-сайти, спеціально створені для цієї мети, «chitchat.ngrok.io», які містять посилання на файл пакета Android «ChitChat.apk», розміщений на GitHub. Наразі незрозуміло, як жертви спрямовуються до цих програм.
Дослідники стверджують, що розповсюдження почалося на спеціальних веб-сайтах, а потім навіть перейшло в офіційний магазин Google Play. Метою кампанії є шпигунство, і вона, ймовірно, буде націлена на жертв у Пакистані та Індії.
