Mobile Malware „XploitSpy“ gegen Opfer in Südasien eingesetzt

Eine aktuelle Android-Malware-Kampagne namens eXotic Visit zielte vor allem auf Benutzer in Südasien, insbesondere in Indien und Pakistan. Die Malware wird über spezielle Websites und den Google Play Store verbreitet. Ein Cybersicherheitsunternehmen überwacht diese Kampagne, die seit November 2021 aktiv ist, konnte die Täter jedoch nicht identifizieren. Sie haben die Gruppe dahinter als Virtual Invaders bezeichnet.

Einem technischen Bericht zufolge scheinen die mit Malware infizierten Apps zwar legitime Funktionen zu bieten, enthalten aber auch Code des Open-Source-Android-RAT XploitSPY. Die Kampagne ist sehr zielgerichtet, wobei die Anzahl der Installationen der infizierten Apps auf Google Play zwischen null und 45 liegt, bevor sie entfernt wurden.

Schädliche Pakete, die sich als soziale Apps tarnen

Die betrügerischen Apps geben sich als Messaging-Dienste wie Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger und Zaangi Chat aus. Rund 380 Benutzer sollen diese Apps heruntergeladen haben, weil sie sie für echte Messaging-Plattformen hielten.

Neben Messaging-Apps gibt es auch betrügerische Apps wie Sim Info und Telco DB, die angeblich durch die Eingabe einer pakistanischen Telefonnummer Details zu SIM-Kartenbesitzern liefern. Einige Apps geben sich auch als Essensbestellservice in Pakistan und als echtes indisches Krankenhaus aus (das jetzt in Trilife Hospital umbenannt wurde).

XploitSPY, das erstmals im April 2020 auf GitHub erschien, ist mit einem indischen Cybersicherheitsunternehmen namens XploitWizer verknüpft. Es gilt als Derivat eines anderen Open-Source-Android-Trojaners namens L3MON, der wiederum von AhMyth inspiriert ist.

Die Fähigkeiten von XploitSpy

Die Malware kann verschiedene sensible Daten von infizierten Geräten sammeln, darunter GPS-Standorte, Mikrofonaufnahmen, Kontakte, SMS-Nachrichten, Anrufprotokolle und Inhalte der Zwischenablage. Sie kann auch auf Benachrichtigungsdetails von beliebten Apps wie WhatsApp, Facebook, Instagram und Gmail zugreifen, Dateien herunterladen/hochladen, installierte Apps anzeigen und Befehle ausführen.

Um einer Erkennung zu entgehen, verwenden die bösartigen Apps Verschleierungstechniken, Emulatorerkennung, verbergen Command-and-Control-Adressen und nutzen eine native Bibliothek namens „defcome-lib.so“, um C2-Serverinformationen zu verschlüsseln und zu verbergen. Wenn ein Emulator erkannt wird, wechselt die App zu einem gefälschten C2-Server, um der Erkennung zu entgehen.

Einige dieser Apps werden über spezielle, zu diesem Zweck erstellte Websites verbreitet, wie z. B. „chitchat.ngrok[.]io“, die einen Link zum Herunterladen der auf GitHub gehosteten Android-Paketdatei („ChitChat.apk“) bereitstellt. Es ist jedoch nicht klar, wie Opfer zu diesen bösartigen Apps geleitet werden.