XploitSpy 移动恶意软件

一个名为“eXotic Visit”的新型 Android 恶意软件活动一直在积极针对南亚（尤其是印度和巴基斯坦）的用户。该活动一直通过专门的网站和 Google Play 商店传播恶意软件。

研究人员自 2021 年 11 月以来一直在监控此活动，未发现与任何已知威胁行为者或团体有任何联系。他们将其背后的组织标记为 Virtual Invaders。

从这些来源下载的威胁应用程序具有合法功能，但也包含来自开源 Android XploitSPY RAT 的代码。此活动似乎高度集中，Google Play 上的应用程序安装量很少，从 0 到 45 个不等。根据研究结果，这些应用程序已从平台上删除。

此次攻击行动利用了大量虚假应用程序

这些欺骗性应用程序仍可运行，主要伪装成 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat 等消息平台。据报道，约有 380 人下载了这些应用程序并创建了账户，意图用它们来发送消息。

此外，作为 eXotic Visit 活动的一部分，Sim Info 和 Telco DB 等应用程序也被使用。这些应用程序声称只需输入巴基斯坦的电话号码即可提供有关 SIM 卡所有者的信息。此外，其他应用程序还假装是巴基斯坦的一家送餐服务公司和一家名为 Specialist Hospital（现已更名为 Trilife Hospital）的合法印度医院。

XploitSpy 移动恶意软件具有多种侵入功能

XploitSPY 最初于 2020 年 4 月由名为 RaoMK 的用户上传到 GitHub，与印度网络安全解决方案公司 XploitWizer 有联系。它被确定为另一种开源 Android 木马 L3MON 的衍生产品，而 L3MON 本身受到 AhMyth 的启发。

该恶意软件拥有广泛的功能，可从受感染的设备收集敏感数据。它可以收集 GPS 位置、录制麦克风音频、访问联系人、短信、通话记录和剪贴板内容。它还能够从 WhatsApp、Facebook、Instagram 和 Gmail 等热门应用中提取通知详细信息，以及下载和上传文件、查看已安装的应用程序以及执行排队命令。

此外，这些有害应用程序还被编程为从与屏幕截图、WhatsApp、WhatsApp Business、Telegram 以及 WhatsApp 的修改版本 GBWhatsApp 相关的特定目录中拍摄照片并枚举文件。

攻击者越来越注重隐身

多年来，这些威胁行为者通过添加混淆、模拟器检测、隐藏 C2 地址和使用本机库来定制他们的破坏性代码。本机库“defcome-lib.so”的主要目的是对 C2 服务器信息进行编码并隐藏在静态分析工具中。如果检测到模拟器，该应用程序就会使用假的 C2 服务器来逃避检测。

一些应用程序通过专门为此目的创建的网站“chitchat.ngrok.io”进行传播，该网站提供了指向托管在 GitHub 上的 Android 软件包文件“ChitChat.apk”的链接。目前尚不清楚受害者是如何被引导到这些应用程序的。

研究人员表示，该恶意软件首先在专门的网站上传播，然后甚至转移到官方的 Google Play 商店。该活动的目的是进行间谍活动，其目标可能是巴基斯坦和印度的受害者。