XploitSpy Mobile Malware indsat mod Sydasiens ofre
En nylig Android-malwarekampagne kendt som eXotic Visit har hovedsageligt været målrettet mod brugere i Sydasien, især i Indien og Pakistan. Malwaren spredes gennem dedikerede websteder og Google Play Butik. Et cybersikkerhedsfirma har overvåget denne kampagne, som har været aktiv siden november 2021, men de har ikke været i stand til at identificere gerningsmændene. De har døbt gruppen bag som Virtual Invaders.
Ifølge en teknisk rapport ser de malware-inficerede apps ud til at tilbyde legitime funktioner, men også indeholde kode fra open source Android XploitSPY RAT. Kampagnen er meget fokuseret, hvor antallet af installationer af de inficerede apps på Google Play varierer fra nul til 45, før de blev fjernet.
Ondsindede pakker, der maskerer sig som sociale apps
De vildledende apps udgør beskedtjenester som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger og Zaangi Chat. Omkring 380 brugere rapporteres at have downloadet disse apps, idet de mener, at de er ægte meddelelsesplatforme.
Ud over beskedapps omfatter andre vildledende apps Sim Info og Telco DB, som hævder at give detaljer om SIM-kortejere ved at indtaste et Pakistan-baseret telefonnummer. Nogle apps foregiver også at være en madbestillingstjeneste i Pakistan og et legitimt indisk hospital (nu omdøbt til Trilife Hospital).
XploitSPY, som først dukkede op på GitHub i april 2020, er knyttet til et indisk cybersikkerhedsfirma kaldet XploitWizer. Det betragtes som et afledt af en anden open-source Android-trojan kaldet L3MON, som selv henter inspiration fra AhMyth.
XploitSpy's muligheder
Malwaren er i stand til at indsamle forskellige følsomme data fra inficerede enheder, herunder GPS-placeringer, mikrofonoptagelser, kontakter, SMS-beskeder, opkaldslogger og indhold fra udklipsholderen. Den kan også få adgang til meddelelsesdetaljer fra populære apps som WhatsApp, Facebook, Instagram og Gmail, downloade/uploade filer, se installerede apps og udføre kommandoer.
For at undgå registrering bruger de ondsindede apps sløringsteknikker, emulatordetektion, skjuler kommando-og-kontrol-adresser og bruger et indbygget bibliotek kaldet "defcome-lib.so" til at kode og skjule C2-serverinformation. Hvis der opdages en emulator, skifter appen til en falsk C2-server for at undgå registrering.
Nogle af disse apps distribueres via specifikke websteder, der er oprettet til dette formål, såsom "chitchat.ngrok[.]io," som giver et link til at downloade Android-pakkefilen ("ChitChat.apk"), der hostes på GitHub. Det er dog ikke klart, hvordan ofre dirigeres til disse ondsindede apps.