XploitSpy 移动恶意软件针对南亚受害者展开攻击

最近，一个名为“eXotic Visit”的 Android 恶意软件活动主要针对南亚用户，尤其是印度和巴基斯坦的用户。该恶意软件通过专门的网站和 Google Play 商店传播。一家网络安全公司一直在监控这一活动，该活动自 2021 年 11 月以来一直活跃，但他们一直无法识别肇事者。他们将其背后的组织称为 Virtual Invaders。

根据一份技术报告，受恶意软件感染的应用程序似乎提供了合法功能，但也包含来自开源 Android XploitSPY RAT 的代码。该活动具有高度针对性，在被删除之前，受感染应用程序在 Google Play 上的安装数量从 0 到 45 不等。

伪装成社交应用程序的恶意软件

这些欺骗性应用程序伪装成 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat 等消息服务。据报道，约有 380 名用户下载了这些应用程序，误以为它们是真正的消息平台。

除了消息应用程序外，其他欺骗性应用程序还包括 Sim Info 和 Telco DB，它们声称只需输入巴基斯坦的电话号码即可提供有关 SIM 卡所有者的详细信息。一些应用程序还假装是巴基斯坦的食品订购服务和合法的印度医院（现已更名为 Trilife 医院）。

XploitSPY 于 2020 年 4 月首次出现在 GitHub 上，与一家名为 XploitWizer 的印度网络安全公司有关。它被认为是另一种开源 Android 木马 L3MON 的衍生品，而 L3MON 本身则从 AhMyth 中汲取了灵感。

XploitSpy 的功能

该恶意软件能够从受感染的设备收集各种敏感数据，包括 GPS 位置、麦克风录音、联系人、短信、通话记录和剪贴板内容。它还可以访问 WhatsApp、Facebook、Instagram 和 Gmail 等热门应用的通知详细信息、下载/上传文件、查看已安装的应用以及执行命令。

为了避免被检测到，恶意应用程序使用混淆技术、模拟器检测、隐藏命令和控制地址，并利用名为“defcome-lib.so”的本机库来编码和隐藏 C2 服务器信息。如果检测到模拟器，应用程序将切换到虚假的 C2 服务器以逃避检测。

其中一些应用程序通过专门为此目的而创建的网站进行分发，例如“chitchat.ngrok[.]io”，该网站提供了下载托管在 GitHub 上的 Android 软件包文件（“ChitChat.apk”）的链接。然而，目前尚不清楚受害者是如何被引导到这些恶意应用程序的。