XploitSpy モバイル マルウェアが南アジアの被害者に展開される
最近の Android マルウェア キャンペーン「eXotic Visit」は、主に南アジア、特にインドとパキスタンのユーザーをターゲットにしています。マルウェアは、専用 Web サイトと Google Play ストアを通じて拡散されています。サイバー セキュリティ企業は、2021 年 11 月から活動しているこのキャンペーンを監視していますが、犯人を特定できていません。この背後にいるグループを Virtual Invaders と名付けました。
技術レポートによると、マルウェアに感染したアプリは正当な機能を提供しているように見えるものの、オープンソースの Android XploitSPY RAT のコードも含まれている。このキャンペーンは非常に集中的で、Google Play での感染アプリのインストール数は、削除されるまでに 0 から 45 に及んだ。
ソーシャルアプリを装った悪質なパッケージ
詐欺アプリは、Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger、Zaangi Chat などのメッセージング サービスを装っています。約 380 人のユーザーが、本物のメッセージング プラットフォームであると信じてこれらのアプリをダウンロードしたと報告されています。
メッセージング アプリの他に、Sim Info や Telco DB などの詐欺アプリがあり、パキスタンの電話番号を入力すると SIM カード所有者の詳細情報を提供すると主張しています。また、パキスタンの食品注文サービスやインドの正規の病院 (現在は Trilife Hospital にブランド名を変更) を装うアプリもあります。
2020年4月にGitHubに初めて登場したXploitSPYは、インドのサイバーセキュリティ企業XploitWizerと関連している。これは、AhMythからインスピレーションを得たL3MONと呼ばれる別のオープンソースAndroidトロイの木馬の派生であると考えられている。
XploitSpyの機能
このマルウェアは、感染したデバイスから GPS 位置情報、マイク録音、連絡先、SMS メッセージ、通話履歴、クリップボードの内容など、さまざまな機密データを収集できます。また、WhatsApp、Facebook、Instagram、Gmail などの人気アプリからの通知の詳細にアクセスしたり、ファイルをダウンロード/アップロードしたり、インストールされているアプリを表示したり、コマンドを実行したりすることもできます。
検出を回避するために、悪意のあるアプリは難読化技術、エミュレータ検出、コマンドアンドコントロールアドレスの非表示、および「defcome-lib.so」と呼ばれるネイティブライブラリを使用してC2サーバー情報をエンコードして隠蔽します。エミュレータが検出されると、アプリは検出を回避するために偽のC2サーバーに切り替えます。
これらのアプリの一部は、GitHub でホストされている Android パッケージ ファイル (「ChitChat.apk」) をダウンロードするためのリンクを提供する「chitchat.ngrok[.]io」など、この目的のために作成された特定の Web サイトを通じて配布されています。ただし、被害者がどのようにしてこれらの悪意のあるアプリに誘導されるのかは明らかではありません。