XploitSpy mobil skadlig programvara utplacerad mot södra Asiens offer
En nyligen genomförd kampanj för skadlig programvara för Android, känd som eXotic Visit, har främst riktat sig till användare i södra Asien, särskilt i Indien och Pakistan. Skadlig programvara sprids via dedikerade webbplatser och Google Play Butik. Ett cybersäkerhetsföretag har övervakat denna kampanj, som har varit aktiv sedan november 2021, men de har inte kunnat identifiera förövarna. De har kallat gruppen bakom som Virtual Invaders.
Enligt en teknisk rapport verkar de malware-infekterade apparna erbjuda legitima funktioner men också innehålla kod från Android XploitSPY RAT med öppen källkod. Kampanjen är mycket fokuserad, med antalet installationer av de infekterade apparna på Google Play som sträcker sig från noll till 45 innan de togs ner.
Skadliga paket som maskerar sig som sociala appar
De bedrägliga apparna poserar som meddelandetjänster som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger och Zaangi Chat. Omkring 380 användare rapporteras ha laddat ner dessa appar, och tror att de är äkta meddelandeplattformar.
Förutom meddelandeappar inkluderar andra vilseledande appar Sim Info och Telco DB, som hävdar att de ger information om SIM-kortsägare genom att ange ett Pakistan-baserat telefonnummer. Vissa appar låtsas också vara en matbeställningstjänst i Pakistan och ett legitimt indiskt sjukhus (nu omdöpt till Trilife Hospital).
XploitSPY, som först dök upp på GitHub i april 2020, är kopplat till ett indiskt cybersäkerhetsföretag som heter XploitWizer. Det anses vara ett derivat av en annan Android-trojan med öppen källkod som heter L3MON, som själv hämtar inspiration från AhMyth.
XploitSpys möjligheter
Skadlig programvara kan samla in olika känsliga data från infekterade enheter, inklusive GPS-platser, mikrofoninspelningar, kontakter, SMS-meddelanden, samtalsloggar och innehåll i urklipp. Den kan också komma åt aviseringsdetaljer från populära appar som WhatsApp, Facebook, Instagram och Gmail, ladda ner/ladda upp filer, visa installerade appar och köra kommandon.
För att undvika upptäckt använder de skadliga apparna obfuskeringstekniker, emulatordetektering, döljer kommando-och-kontrolladresser och använder ett inbyggt bibliotek som heter "defcome-lib.so" för att koda och dölja C2-serverinformation. Om en emulator upptäcks byter appen till en falsk C2-server för att undvika upptäckt.
Vissa av dessa appar distribueras via specifika webbplatser som skapats för detta ändamål, till exempel "chitchat.ngrok[.]io", som ger en länk för att ladda ner Android-paketfilen ("ChitChat.apk") som finns på GitHub. Det är dock inte klart hur offren dirigeras till dessa skadliga appar.