XploitSpy Mobile Malware telepítve a dél-ázsiai áldozatok ellen

Az eXotic Visit néven ismert, nemrégiben futó Android rosszindulatú programokkal kapcsolatos kampány túlnyomórészt dél-ázsiai, különösen indiai és pakisztáni felhasználókat céloz meg. A rosszindulatú programot erre a célra szolgáló webhelyeken és a Google Play Áruházban terjesztik. Egy kiberbiztonsági cég figyelemmel kíséri ezt a kampányt, amely 2021 novembere óta aktív, de nem tudták azonosítani az elkövetőket. A mögötte álló csoportot Virtual Invaders-nek nevezték el.

Egy technikai jelentés szerint a rosszindulatú programokkal fertőzött alkalmazások legitim funkciókat kínálnak, de a nyílt forráskódú Android XploitSPY RAT kódját is tartalmazzák. A kampány nagyon koncentrált, a Google Playen található fertőzött alkalmazások telepítéseinek száma nullától 45-ig terjedt az eltávolításuk előtt.

Rosszindulatú csomagok, amelyek közösségi alkalmazásoknak álcázzák magukat

A megtévesztő alkalmazások olyan üzenetküldő szolgáltatásokként jelennek meg, mint az Alpha Chat, a ChitChat, a Defcom, a Dink Messenger, a Signal Lite, a TalkU, a WeTalk, a Wicker Messenger és a Zaangi Chat. A jelentések szerint körülbelül 380 felhasználó töltötte le ezeket az alkalmazásokat, és úgy gondolja, hogy valódi üzenetküldő platformok.

Az üzenetküldő alkalmazásokon kívül a megtévesztő alkalmazások közé tartozik a Sim Info és a Telco DB, amelyek azt állítják, hogy egy pakisztáni telefonszám megadásával adnak tájékoztatást a SIM-kártya tulajdonosairól. Egyes alkalmazások azt is előadják, hogy egy pakisztáni ételrendelési szolgáltatás és egy legitim indiai kórház (most Trilife Hospital néven átkeresztelve).

Az XploitSPY, amely először 2020 áprilisában jelent meg a GitHubon, az XploitWizer nevű indiai kiberbiztonsági céghez kapcsolódik. Egy másik nyílt forráskódú Android trójai, az L3MON származékának tekintik, amely maga is az AhMyth-ből merít ihletet.

Az XploitSpy képességei

A kártevő különféle érzékeny adatokat képes gyűjteni a fertőzött eszközökről, beleértve a GPS-helyeket, a mikrofonfelvételeket, a névjegyeket, az SMS-eket, a hívásnaplókat és a vágólap tartalmát. Ezenkívül hozzáférhet a népszerű alkalmazások, például a WhatsApp, a Facebook, az Instagram és a Gmail értesítési adataihoz, letölthet/feltölthet fájlokat, megtekintheti a telepített alkalmazásokat, és parancsokat hajthat végre.

Az észlelés elkerülése érdekében a rosszindulatú alkalmazások elhomályosító technikákat, emulátorészlelést, parancs- és vezérlőcímek elrejtését, valamint a „defcome-lib.so” nevű natív könyvtárat használják a C2-kiszolgáló információinak kódolására és elrejtésére. Ha emulátort észlel, az alkalmazás hamis C2-kiszolgálóra vált, hogy elkerülje az észlelést.

Ezen alkalmazások némelyikét speciális, erre a célra létrehozott webhelyeken keresztül terjesztik, mint például a „chitchat.ngrok[.]io”, amely hivatkozást biztosít a GitHubon tárolt Android-csomagfájl („ChitChat.apk”) letöltéséhez. Nem világos azonban, hogyan irányítják az áldozatokat ezekhez a rosszindulatú alkalmazásokhoz.