Мобильное вредоносное ПО XploitSpy развернуто против жертв в Южной Азии

Недавняя кампания по вредоносному ПО для Android, известная как eXotic Visit, была нацелена преимущественно на пользователей в Южной Азии, особенно в Индии и Пакистане. Вредоносное ПО распространяется через специальные веб-сайты и магазин Google Play. Компания по кибербезопасности отслеживает эту кампанию, которая активна с ноября 2021 года, но им не удалось установить виновных. Стоявшую за этим группу они окрестили Virtual Invaders.

Согласно техническому отчету, зараженные вредоносным ПО приложения, похоже, предлагают законные функции, но также содержат код из Android XploitSPY RAT с открытым исходным кодом. Кампания носит узконаправленный характер: количество установок зараженных приложений в Google Play варьируется от нуля до 45, прежде чем они были удалены.

Вредоносные пакеты, маскирующиеся под социальные приложения

Мошеннические приложения выдают себя за такие службы обмена сообщениями, как Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger и Zaangi Chat. Сообщается, что около 380 пользователей загрузили эти приложения, полагая, что это настоящие платформы для обмена сообщениями.

Помимо приложений для обмена сообщениями, к другим мошенническим приложениям относятся Sim Info и Telco DB, которые утверждают, что предоставляют подробную информацию о владельцах SIM-карт, вводя номер телефона в Пакистане. Некоторые приложения также выдают себя за службу заказа еды в Пакистане и настоящую индийскую больницу (теперь переименованную в Trilife Hospital).

XploitSPY, впервые появившийся на GitHub в апреле 2020 года, связан с индийской компанией по кибербезопасности XploitWizer. Он считается производным от другого трояна Android с открытым исходным кодом под названием L3MON, который сам черпает вдохновение из AhMyth.

Возможности XploitSpy

Вредоносное ПО способно собирать различные конфиденциальные данные с зараженных устройств, включая местоположение GPS, записи с микрофона, контакты, SMS-сообщения, журналы вызовов и содержимое буфера обмена. Он также может получать доступ к сведениям об уведомлениях из популярных приложений, таких как WhatsApp, Facebook, Instagram и Gmail, загружать/загружать файлы, просматривать установленные приложения и выполнять команды.

Чтобы избежать обнаружения, вредоносные приложения используют методы запутывания, обнаружения эмулятора, скрывают адреса управления и контроля и используют собственную библиотеку под названием «defcome-lib.so» для кодирования и сокрытия информации о сервере C2. Если эмулятор обнаружен, приложение переключается на поддельный сервер C2, чтобы избежать обнаружения.

Некоторые из этих приложений распространяются через специальные веб-сайты, созданные для этой цели, например «chitchat.ngrok[.]io», который предоставляет ссылку для загрузки файла пакета Android («ChitChat.apk»), размещенного на GitHub. Однако неясно, как жертвы перенаправляются на эти вредоносные приложения.