XploitSpy Mobile Malware utplassert mot Sør-Asia-ofre

En nylig Android-malwarekampanje kjent som eXotic Visit har hovedsakelig vært rettet mot brukere i Sør-Asia, spesielt i India og Pakistan. Skadevaren spres gjennom dedikerte nettsteder og Google Play Store. Et cybersikkerhetsselskap har overvåket denne kampanjen, som har vært aktiv siden november 2021, men de har ikke klart å identifisere gjerningsmennene. De har kalt gruppen bak som Virtual Invaders.

Ifølge en teknisk rapport ser det ut til at de malware-infiserte appene tilbyr legitime funksjoner, men også inneholder kode fra Android XploitSPY RAT med åpen kildekode. Kampanjen er svært fokusert, med antall installasjoner av de infiserte appene på Google Play som varierer fra null til 45 før de ble fjernet.

Ondsinnede pakker maskerer seg som sosiale apper

De villedende appene poserer som meldingstjenester som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger og Zaangi Chat. Rundt 380 brukere rapporteres å ha lastet ned disse appene, og tror de er ekte meldingsplattformer.

I tillegg til meldingsapper inkluderer andre villedende apper Sim Info og Telco DB, som hevder å oppgi detaljer om SIM-korteiere ved å skrive inn et Pakistan-basert telefonnummer. Noen apper later også til å være en matbestillingstjeneste i Pakistan og et legitimt indisk sykehus (nå omdøpt til Trilife Hospital).

XploitSPY, som først dukket opp på GitHub i april 2020, er knyttet til et indisk cybersikkerhetsselskap kalt XploitWizer. Det regnes som et derivat av en annen åpen kildekode Android-trojan kalt L3MON, som selv henter inspirasjon fra AhMyth.

XploitSpys evner

Skadevaren er i stand til å samle ulike sensitive data fra infiserte enheter, inkludert GPS-plasseringer, mikrofonopptak, kontakter, SMS-meldinger, anropslogger og innhold på utklippstavlen. Den kan også få tilgang til varslingsdetaljer fra populære apper som WhatsApp, Facebook, Instagram og Gmail, laste ned/laste opp filer, se installerte apper og utføre kommandoer.

For å unngå oppdagelse bruker de ondsinnede appene tilsløringsteknikker, emulatordeteksjon, skjuler kommando-og-kontroll-adresser og bruker et innebygd bibliotek kalt "defcome-lib.so" for å kode og skjule C2-serverinformasjon. Hvis en emulator oppdages, bytter appen til en falsk C2-server for å unngå oppdagelse.

Noen av disse appene distribueres gjennom spesifikke nettsteder opprettet for dette formålet, for eksempel "chitchat.ngrok[.]io," som gir en lenke for å laste ned Android-pakkefilen ("ChitChat.apk") som er vert på GitHub. Det er imidlertid ikke klart hvordan ofre blir dirigert til disse ondsinnede appene.