XploitSpy Mobile Malware indsat mod Sydasiens ofre

En nylig Android-malwarekampagne kendt som eXotic Visit har hovedsageligt været målrettet mod brugere i Sydasien, især i Indien og Pakistan. Malwaren spredes gennem dedikerede websteder og Google Play Butik. Et cybersikkerhedsfirma har overvåget denne kampagne, som har været aktiv siden november 2021, men de har ikke været i stand til at identificere gerningsmændene. De har døbt gruppen bag som Virtual Invaders.

Ifølge en teknisk rapport ser de malware-inficerede apps ud til at tilbyde legitime funktioner, men også indeholde kode fra open source Android XploitSPY RAT. Kampagnen er meget fokuseret, hvor antallet af installationer af de inficerede apps på Google Play varierer fra nul til 45, før de blev fjernet.

Ondsindede pakker, der maskerer sig som sociale apps

De vildledende apps udgør beskedtjenester som Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger og Zaangi Chat. Omkring 380 brugere rapporteres at have downloadet disse apps, idet de mener, at de er ægte meddelelsesplatforme.

Ud over beskedapps omfatter andre vildledende apps Sim Info og Telco DB, som hævder at give detaljer om SIM-kortejere ved at indtaste et Pakistan-baseret telefonnummer. Nogle apps foregiver også at være en madbestillingstjeneste i Pakistan og et legitimt indisk hospital (nu omdøbt til Trilife Hospital).

XploitSPY, som først dukkede op på GitHub i april 2020, er knyttet til et indisk cybersikkerhedsfirma kaldet XploitWizer. Det betragtes som et afledt af en anden open-source Android-trojan kaldet L3MON, som selv henter inspiration fra AhMyth.

XploitSpy's muligheder

Malwaren er i stand til at indsamle forskellige følsomme data fra inficerede enheder, herunder GPS-placeringer, mikrofonoptagelser, kontakter, SMS-beskeder, opkaldslogger og indhold fra udklipsholderen. Den kan også få adgang til meddelelsesdetaljer fra populære apps som WhatsApp, Facebook, Instagram og Gmail, downloade/uploade filer, se installerede apps og udføre kommandoer.

For at undgå registrering bruger de ondsindede apps sløringsteknikker, emulatordetektion, skjuler kommando-og-kontrol-adresser og bruger et indbygget bibliotek kaldet "defcome-lib.so" til at kode og skjule C2-serverinformation. Hvis der opdages en emulator, skifter appen til en falsk C2-server for at undgå registrering.

Nogle af disse apps distribueres via specifikke websteder, der er oprettet til dette formål, såsom "chitchat.ngrok[.]io," som giver et link til at downloade Android-pakkefilen ("ChitChat.apk"), der hostes på GitHub. Det er dog ikke klart, hvordan ofre dirigeres til disse ondsindede apps.

I Zaib
April 11, 2024
Android Malware, Computer Security
Dansk
April 11, 2024
Android Malware, Computer Security

Populære opslag

Softcnapp potentielt uønsket applikation

2 months siden

Fejl: Ox800VDS Pop-up Scam

17 days siden

Pop-ups "Din iCloud bliver hacket" og "Din iPhone er blevet...

9 months siden

Venanco.com fidus

21 days siden

'American Express - Opdater dine kontooplysninger' E-mail-fidus

7 months siden

Looy Ransomware låser de fleste filer

22 days siden
Dansk
Indlæser...

Cyclonis Backup Details & Terms

Gratis Basic Cyclonis Backup-planen giver dig 2 GB skylagerplads med fuld funktionalitet! Intet kreditkort påkrævet. Har du brug for mere lagerplads? Køb en større Cyclonis Backup-plan i dag! For at lære mere om vores politikker og priser, se Servicevilkår, Fortrolighedspolitik, Rabatbetingelser og Købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Cyclonis Password Manager Details & Terms

GRATIS prøveperiode: 30-dages engangstilbud! Intet kreditkort kræves for gratis prøveperiode. Fuld funktionalitet i hele den gratis prøveperiode. (Fuld funktionalitet efter gratis prøveversion kræver abonnementskøb.) For at lære mere om vores politikker og priser, se EULA, privatlivspolitik, rabatvilkår og købsside. Hvis du ønsker at afinstallere appen, skal du besøge siden med instruktioner til afinstallation.

Hjem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Help Files FAQ Downloads Inquiries & Support

Selskab

Om os Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Fortrolighedspolitik Cookiepolitik Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows er et varemærke tilhørende Microsoft, registreret i USA og andre lande.
Mac, iPhone, iPad og App Store er varemærker tilhørende Apple Inc., registreret i USA og andre lande.
iOS er et registreret varemærke tilhørende Cisco Systems, Inc. og/eller dets datterselskaber i USA og visse andre lande.
Android og Google Play er varemærker tilhørende Google LLC.