Κακόβουλο λογισμικό XploitSpy Mobile που αναπτύχθηκε κατά των θυμάτων της Νότιας Ασίας

Μια πρόσφατη καμπάνια κακόβουλου λογισμικού Android, γνωστή ως eXotic Visit, στοχεύει κυρίως χρήστες στη Νότια Ασία, ιδιαίτερα στην Ινδία και το Πακιστάν. Το κακόβουλο λογισμικό διαδίδεται μέσω αποκλειστικών ιστότοπων και του Google Play Store. Μια εταιρεία κυβερνοασφάλειας παρακολουθεί αυτήν την εκστρατεία, η οποία είναι ενεργή από τον Νοέμβριο του 2021, αλλά δεν κατάφεραν να εντοπίσουν τους δράστες. Έχουν βαφτίσει την ομάδα πίσω από αυτό ως Virtual Invaders.

Σύμφωνα με μια τεχνική έκθεση, οι εφαρμογές που έχουν μολυνθεί από κακόβουλο λογισμικό φαίνεται να προσφέρουν νόμιμες λειτουργίες αλλά περιέχουν επίσης κώδικα από το ανοιχτού κώδικα Android XploitSPY RAT. Η καμπάνια είναι ιδιαίτερα εστιασμένη, με τον αριθμό των εγκαταστάσεων των μολυσμένων εφαρμογών στο Google Play να κυμαίνεται από μηδέν έως 45 πριν καταργηθούν.

Κακόβουλα πακέτα που μεταμφιέζονται σε κοινωνικές εφαρμογές

Οι παραπλανητικές εφαρμογές παρουσιάζονται ως υπηρεσίες ανταλλαγής μηνυμάτων όπως Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger και Zaangi Chat. Περίπου 380 χρήστες αναφέρεται ότι έχουν κατεβάσει αυτές τις εφαρμογές, πιστεύοντας ότι είναι γνήσιες πλατφόρμες ανταλλαγής μηνυμάτων.

Εκτός από τις εφαρμογές ανταλλαγής μηνυμάτων, άλλες παραπλανητικές εφαρμογές περιλαμβάνουν το Sim Info και το Telco DB, οι οποίες ισχυρίζονται ότι παρέχουν λεπτομέρειες σχετικά με τους κατόχους καρτών SIM εισάγοντας έναν αριθμό τηλεφώνου με έδρα το Πακιστάν. Ορισμένες εφαρμογές προσποιούνται επίσης ότι είναι μια υπηρεσία παραγγελιών φαγητού στο Πακιστάν και ένα νόμιμο ινδικό νοσοκομείο (τώρα μετονομάζεται σε Trilife Hospital).

Το XploitSPY, το οποίο εμφανίστηκε για πρώτη φορά στο GitHub τον Απρίλιο του 2020, συνδέεται με μια ινδική εταιρεία κυβερνοασφάλειας που ονομάζεται XploitWizer. Θεωρείται παράγωγο ενός άλλου trojan Android ανοιχτού κώδικα που ονομάζεται L3MON, το οποίο εμπνέεται από το AhMyth.

Δυνατότητες του XploitSpy

Το κακόβουλο λογισμικό είναι σε θέση να συλλέγει διάφορα ευαίσθητα δεδομένα από μολυσμένες συσκευές, όπως τοποθεσίες GPS, εγγραφές μικροφώνου, επαφές, μηνύματα SMS, αρχεία καταγραφής κλήσεων και περιεχόμενα του προχείρου. Μπορεί επίσης να έχει πρόσβαση στις λεπτομέρειες ειδοποιήσεων από δημοφιλείς εφαρμογές όπως το WhatsApp, το Facebook, το Instagram και το Gmail, να κατεβάζει/ανεβάζει αρχεία, να βλέπει εγκατεστημένες εφαρμογές και να εκτελεί εντολές.

Για να αποφευχθεί ο εντοπισμός, οι κακόβουλες εφαρμογές χρησιμοποιούν τεχνικές συσκότισης, ανίχνευση εξομοιωτή, απόκρυψη διευθύνσεων εντολών και ελέγχου και χρησιμοποιούν μια εγγενή βιβλιοθήκη που ονομάζεται "defcome-lib.so" για την κωδικοποίηση και την απόκρυψη πληροφοριών διακομιστή C2. Εάν εντοπιστεί εξομοιωτής, η εφαρμογή μεταβαίνει σε έναν ψεύτικο διακομιστή C2 για να αποφύγει τον εντοπισμό.

Ορισμένες από αυτές τις εφαρμογές διανέμονται μέσω συγκεκριμένων ιστότοπων που έχουν δημιουργηθεί για αυτόν τον σκοπό, όπως το "chitchat.ngrok[.]io", το οποίο παρέχει έναν σύνδεσμο για τη λήψη του αρχείου πακέτου Android ("ChitChat.apk") που φιλοξενείται στο GitHub. Ωστόσο, δεν είναι σαφές πώς τα θύματα κατευθύνονται σε αυτές τις κακόβουλες εφαρμογές.