XploitSpy 移动恶意软件针对南亚受害者展开攻击
最近,一个名为“eXotic Visit”的 Android 恶意软件活动主要针对南亚用户,尤其是印度和巴基斯坦的用户。该恶意软件通过专门的网站和 Google Play 商店传播。一家网络安全公司一直在监控这一活动,该活动自 2021 年 11 月以来一直活跃,但他们一直无法识别肇事者。他们将其背后的组织称为 Virtual Invaders。
根据一份技术报告,受恶意软件感染的应用程序似乎提供了合法功能,但也包含来自开源 Android XploitSPY RAT 的代码。该活动具有高度针对性,在被删除之前,受感染应用程序在 Google Play 上的安装数量从 0 到 45 不等。
伪装成社交应用程序的恶意软件
这些欺骗性应用程序伪装成 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat 等消息服务。据报道,约有 380 名用户下载了这些应用程序,误以为它们是真正的消息平台。
除了消息应用程序外,其他欺骗性应用程序还包括 Sim Info 和 Telco DB,它们声称只需输入巴基斯坦的电话号码即可提供有关 SIM 卡所有者的详细信息。一些应用程序还假装是巴基斯坦的食品订购服务和合法的印度医院(现已更名为 Trilife 医院)。
XploitSPY 于 2020 年 4 月首次出现在 GitHub 上,与一家名为 XploitWizer 的印度网络安全公司有关。它被认为是另一种开源 Android 木马 L3MON 的衍生品,而 L3MON 本身则从 AhMyth 中汲取了灵感。
XploitSpy 的功能
该恶意软件能够从受感染的设备收集各种敏感数据,包括 GPS 位置、麦克风录音、联系人、短信、通话记录和剪贴板内容。它还可以访问 WhatsApp、Facebook、Instagram 和 Gmail 等热门应用的通知详细信息、下载/上传文件、查看已安装的应用以及执行命令。
为了避免被检测到,恶意应用程序使用混淆技术、模拟器检测、隐藏命令和控制地址,并利用名为“defcome-lib.so”的本机库来编码和隐藏 C2 服务器信息。如果检测到模拟器,应用程序将切换到虚假的 C2 服务器以逃避检测。
其中一些应用程序通过专门为此目的而创建的网站进行分发,例如“chitchat.ngrok[.]io”,该网站提供了下载托管在 GitHub 上的 Android 软件包文件(“ChitChat.apk”)的链接。然而,目前尚不清楚受害者是如何被引导到这些恶意应用程序的。