XploitSpy 行動惡意軟體

一種名為 eXotic Visit 的新 Android 惡意軟體活動一直積極針對南亞用戶，特別是印度和巴基斯坦的用戶。該活動一直透過專門網站和 Google Play 商店傳播惡意軟體。

研究人員自 2021 年 11 月以來一直在監控這項活動，並沒有發現與任何已知的威脅行為者或組織有任何關聯。他們將背後的組織標記為「虛擬入侵者」。

從這些來源下載的威脅應用程式提供合法功能，但也包含來自開源 Android XploitSPY RAT 的程式碼。該活動似乎高度集中，Google Play 上的應用程式安裝量很少，從 0 到 45 不等。

攻擊行動利用了大量虛假應用程式

這些欺騙性應用程式仍然有效，主要偽裝成訊息傳遞平台，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。據報道，約有 380 人成為下載這些應用程式並建立帳戶並打算使用它們發送訊息的受害者。

此外，作為 eXotic Visit 活動的一部分，還使用了 Sim Info 和 Telco DB 等應用程式。這些應用程式聲稱只需輸入巴基斯坦的電話號碼即可提供有關 SIM 卡所有者的信息。此外，其他應用程式也冒充巴基斯坦的食品配送服務機構和一家名為 Specialist Hospital 的合法印度醫院（現已更名為 Trilife Hospital）。

XploitSpy行動惡意軟體具有廣泛的侵入功能

XploitSPY 最初由一位名為 RaoMK 的用戶於 2020 年 4 月上傳到 GitHub，與一家名為 XploitWizer 的印度網路安全解決方案公司有聯繫。它被確定為另一個名為 L3MON 的開源 Android 木馬的衍生品，該木馬本身受到 AhMyth 的啟發。

該惡意軟體擁有廣泛的功能，使其能夠從受感染的裝置收集敏感資料。它可以收集 GPS 位置、從麥克風錄製音訊、存取聯絡人、簡訊、通話記錄和剪貼簿內容。它還能夠從 WhatsApp、Facebook、Instagram 和 Gmail 等流行應用程式中提取通知詳細信息，以及下載和上傳文件、查看已安裝的應用程式以及執行排隊命令。

此外，有害應用程式被編程為拍攝照片並列舉與螢幕截圖、WhatsApp、WhatsApp Business、Telegram 以及名為 GBWhatsApp 的 WhatsApp 修改版本相關的特定目錄中的檔案。

攻擊者更重視隱蔽性

多年來，這些威脅參與者透過添加混淆、模擬器檢測、隱藏 C2 位址以及使用本機庫來自訂其破壞性程式碼。本機庫「defcome-lib.so」的主要目的是對 C2 伺服器資訊進行編碼並隱藏靜態分析工具。如果偵測到模擬器，該應用程式會利用偽造的 C2 伺服器來逃避偵測。

一些應用程式已透過專門為此目的創建的網站「chitchat.ngrok.io」進行傳播，該網站提供了指向 GitHub 上託管的 Android 套件檔案「ChitChat.apk」的連結。目前尚不清楚受害者是如何被引導到這些應用程式的。

研究人員表示，分發是從專門的網站開始的，然後甚至轉移到官方的 Google Play 商店。該活動的目的是間諜活動，可能會針對巴基斯坦和印度的受害者。