針對南亞受害者部署的 XploitSpy 行動惡意軟體

最近一個名為 eXotic Visit 的 Android 惡意軟體活動主要針對南亞的用戶，特別是印度和巴基斯坦的用戶。該惡意軟體正在透過專門網站和 Google Play 商店傳播。一家網路安全公司一直在監控這項活動，該活動自 2021 年 11 月以來一直活躍，但他們無法識別肇事者。他們將背後的組織稱為虛擬入侵者。

根據技術報告，受惡意軟體感染的應用程式似乎提供合法功能，但也包含來自開源 Android XploitSPY RAT 的程式碼。活動的針對性很強，受感染應用程式在被刪除之前在 Google Play 上的安裝數量從 0 到 45 不等。

偽裝成社群應用程式的惡意軟體包

這些欺騙性應用程式偽裝成訊息服務，例如 Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger 和 Zaangi Chat。據報道，約有 380 名用戶下載了這些應用程序，並相信它們是真正的訊息平台。

除了訊息應用程式之外，其他欺騙性應用程式還包括 Sim Info 和 Telco DB，它們聲稱透過輸入巴基斯坦的電話號碼來提供有關 SIM 卡所有者的詳細資訊。一些應用程式還冒充巴基斯坦的食品訂購服務和合法的印度醫院（現已更名為 Trilife 醫院）。

XploitSPY 於 2020 年 4 月首次出現在 GitHub 上，與一家名為 XploitWizer 的印度網路安全公司有關。它被認為是另一個名為 L3MON 的開源 Android 木馬的衍生品，L3MON 本身的靈感來自 AhMyth。

XploitSpy 的功能

該惡意軟體能夠從受感染的裝置收集各種敏感數據，包括 GPS 位置、麥克風錄音、聯絡人、簡訊、通話記錄和剪貼簿內容。它還可以訪問 WhatsApp、Facebook、Instagram 和 Gmail 等流行應用程式的通知詳細資訊、下載/上傳檔案、查看已安裝的應用程式以及執行命令。

為了避免偵測，惡意應用程式使用混淆技術、模擬器偵測、隱藏命令和控制位址，並利用名為「defcome-lib.so」的本機程式庫來編碼和隱藏 C2 伺服器資訊。如果偵測到模擬器，應用程式會切換到偽造的 C2 伺服器以逃避偵測。

其中一些應用程式透過為此目的創建的特定網站進行分發，例如“chitchat.ngrok[.]io”，它提供了下載託管在 GitHub 上的 Android 套件檔案（“ChitChat.apk”）的連結。然而，目前尚不清楚受害者是如何被引導到這些惡意應用程式的。