Phần mềm độc hại di động XploitSpy

Một chiến dịch phần mềm độc hại trên Android mới, có tên là eXotic Visit, đã tích cực nhắm mục tiêu vào người dùng ở Nam Á, đặc biệt là ở Ấn Độ và Pakistan. Chiến dịch này đã phân phối phần mềm độc hại thông qua các trang web chuyên biệt và Cửa hàng Google Play.

Các nhà nghiên cứu đã theo dõi chiến dịch này kể từ tháng 11 năm 2021 và không tìm thấy mối liên hệ nào với bất kỳ tác nhân hoặc nhóm đe dọa nào đã biết. Họ đã gắn nhãn nhóm đằng sau nó là Kẻ xâm lược ảo.

Các ứng dụng đe dọa được tải xuống từ các nguồn này cung cấp chức năng hợp pháp nhưng cũng chứa mã từ Android XploitSPY RAT nguồn mở. Chiến dịch này có vẻ được tập trung cao độ, với các ứng dụng trên Google Play có rất ít lượt cài đặt, từ 0 đến 45. Theo kết quả nghiên cứu, các ứng dụng này đã bị xóa khỏi nền tảng.

Chiến dịch tấn công đã khai thác nhiều ứng dụng giả mạo

Các ứng dụng lừa đảo vẫn hoạt động và chủ yếu được coi là nền tảng nhắn tin như Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger và Zaangi Chat. Có thông tin cho rằng khoảng 380 cá nhân đã trở thành nạn nhân của việc tải xuống các ứng dụng này và tạo tài khoản với ý định sử dụng chúng để nhắn tin.

Ngoài ra, như một phần của chiến dịch eXotic Visit, các ứng dụng như Sim Info và Telco DB cũng được sử dụng. Các ứng dụng này tuyên bố cung cấp thông tin về chủ sở hữu thẻ SIM chỉ bằng cách nhập số điện thoại có trụ sở tại Pakistan. Hơn nữa, các ứng dụng khác giả vờ là dịch vụ giao đồ ăn ở Pakistan và một bệnh viện hợp pháp của Ấn Độ được gọi là Bệnh viện Chuyên khoa (hiện được đổi tên thành Bệnh viện Trilife).

Phần mềm độc hại di động XploitSpy sở hữu nhiều chức năng xâm nhập

XploitSPY, ban đầu được tải lên GitHub vào đầu tháng 4 năm 2020 bởi một người dùng tên RaoMK, có quan hệ với một công ty giải pháp an ninh mạng của Ấn Độ có tên là XploitWizer. Nó được xác định là một dẫn xuất của một trojan Android mã nguồn mở khác có tên L3MON, lấy cảm hứng từ AhMyth.

Phần mềm độc hại này tự hào có nhiều khả năng cho phép nó thu thập dữ liệu nhạy cảm từ các thiết bị bị xâm nhập. Nó có thể thu thập các vị trí GPS, ghi lại âm thanh từ micrô, truy cập danh bạ, tin nhắn SMS, nhật ký cuộc gọi và nội dung clipboard. Nó cũng có khả năng trích xuất chi tiết thông báo từ các ứng dụng phổ biến như WhatsApp, Facebook, Instagram và Gmail, cũng như tải xuống và tải lên các tệp, xem các ứng dụng đã cài đặt và thực hiện các lệnh xếp hàng.

Hơn nữa, các ứng dụng có hại được lập trình để chụp ảnh và liệt kê các tệp từ các thư mục cụ thể được liên kết với ảnh chụp màn hình, WhatsApp, WhatsApp Business, Telegram và phiên bản sửa đổi của WhatsApp được gọi là GBWhatsApp.

Những kẻ tấn công ngày càng chú trọng đến tính năng tàng hình

Trong suốt nhiều năm, những kẻ đe dọa này đã tùy chỉnh mã gây hại của chúng bằng cách thêm tính năng làm xáo trộn, phát hiện trình mô phỏng, ẩn địa chỉ C2 và sử dụng thư viện gốc. Mục đích chính của thư viện gốc 'defcome-lib.so' là giữ thông tin máy chủ C2 được mã hóa và ẩn khỏi các công cụ phân tích tĩnh. Nếu phát hiện thấy trình mô phỏng, ứng dụng sẽ sử dụng máy chủ C2 giả để tránh bị phát hiện.

Một số ứng dụng đã được phổ biến thông qua các trang web được tạo riêng cho mục đích này, 'chitchat.ngrok.io', cung cấp liên kết đến tệp gói Android, 'ChitChat.apk' được lưu trữ trên GitHub. Hiện tại vẫn chưa rõ nạn nhân được chuyển hướng đến các ứng dụng này như thế nào.

Các nhà nghiên cứu cho biết rằng việc phân phối bắt đầu trên các trang web chuyên dụng và thậm chí sau đó chuyển sang cửa hàng Google Play chính thức. Mục đích của chiến dịch là gián điệp và có thể nó sẽ nhắm vào các nạn nhân ở Pakistan và Ấn Độ.