„XploitSpy“ mobilioji kenkėjiška programa įdiegta prieš Pietų Azijos aukas

Neseniai surengta „Android“ kenkėjiškų programų kampanija, žinoma kaip „eXotic Visit“, daugiausia skirta naudotojams Pietų Azijoje, ypač Indijoje ir Pakistane. Kenkėjiška programa plinta per tam skirtas svetaines ir „Google Play“ parduotuvę. Kibernetinio saugumo įmonė stebi šią nuo 2021 m. lapkričio mėn. vykdomą kampaniją, tačiau kaltininkų nustatyti nepavyko. Grupę, kuri buvo už jo, jie pavadino Virtual Invaders.

Remiantis technine ataskaita, atrodo, kad kenkėjiška programa užkrėstos programos siūlo teisėtas funkcijas, tačiau jose taip pat yra atvirojo kodo „Android XploitSPY RAT“ kodo. Kampanija yra labai orientuota, o užkrėstų programų skaičius sistemoje „Google Play“ svyravo nuo nulio iki 45, kol jos buvo pašalintos.

Kenkėjiški paketai, pridengti socialinėmis programomis

Apgaulingos programos yra pranešimų siuntimo paslaugos, tokios kaip Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger ir Zaangi Chat. Pranešama, kad apie 380 vartotojų atsisiuntė šias programas, manydami, kad jos yra tikros pranešimų platformos.

Be pranešimų siuntimo programų, kitos apgaulingos programos apima „Sim Info“ ir „Telco DB“, kurios teigia pateikiančios išsamią informaciją apie SIM kortelių savininkus, įvesdamos Pakistane esantį telefono numerį. Kai kurios programos taip pat apsimeta maisto užsakymo paslauga Pakistane ir teisėta Indijos ligonine (dabar pervadinta į Trilife ligoninę).

„XploitSPY“, kuri pirmą kartą pasirodė „GitHub“ 2020 m. balandžio mėn., yra susijusi su Indijos kibernetinio saugumo įmone „XploitWizer“. Jis laikomas kito atvirojo kodo Android Trojos arklys, pavadintas L3MON, išvestiniu, kuris pats semiasi įkvėpimo iš AhMyth.

„XploitSpy“ galimybės

Kenkėjiška programa gali rinkti įvairius slaptus duomenis iš užkrėstų įrenginių, įskaitant GPS vietas, mikrofono įrašus, kontaktus, SMS žinutes, skambučių žurnalus ir mainų srities turinį. Jis taip pat gali pasiekti pranešimų informaciją iš populiarių programų, tokių kaip WhatsApp, Facebook, Instagram ir Gmail, atsisiųsti / įkelti failus, peržiūrėti įdiegtas programas ir vykdyti komandas.

Kad būtų išvengta aptikimo, kenkėjiškos programos naudoja užmaskavimo metodus, emuliatoriaus aptikimą, slepia komandų ir valdymo adresus ir naudoja savąją biblioteką, vadinamą „defcome-lib.so“, kad užkoduotų ir nuslėptų C2 serverio informaciją. Jei aptinkamas emuliatorius, programa persijungia į netikrą C2 serverį, kad išvengtų aptikimo.

Kai kurios iš šių programų platinamos per konkrečias šiuo tikslu sukurtas svetaines, pvz., „chitchat.ngrok[.]io“, kurioje pateikiama nuoroda atsisiųsti „Android“ paketo failą („ChitChat.apk“), priglobtą „GitHub“. Tačiau neaišku, kaip aukos nukreipiamos į šias kenkėjiškas programas.