XploitSpy mobiele malware ingezet tegen slachtoffers in Zuid-Azië

Een recente Android-malwarecampagne, bekend als eXotic Visit, richtte zich voornamelijk op gebruikers in Zuid-Azië, met name in India en Pakistan. De malware wordt verspreid via speciale websites en de Google Play Store. Een cybersecuritybedrijf houdt deze campagne, die sinds november 2021 actief is, in de gaten, maar heeft de daders niet kunnen identificeren. Ze noemen de groep erachter Virtual Invaders.

Volgens een technisch rapport lijken de met malware geïnfecteerde apps legitieme functies te bieden, maar bevatten ze ook code van het open source Android XploitSPY RAT. De campagne is zeer doelgericht: het aantal installaties van de geïnfecteerde apps op Google Play varieert van nul tot 45 voordat ze werden verwijderd.

Schadelijke pakketten die zich voordoen als sociale apps

De misleidende apps doen zich voor als berichtendiensten zoals Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger en Zangi Chat. Naar verluidt hebben ongeveer 380 gebruikers deze apps gedownload, in de veronderstelling dat het echte berichtenplatforms zijn.

Naast berichten-apps zijn er ook andere misleidende apps, waaronder Sim Info en Telco DB, die beweren details over SIM-kaartbezitters te verstrekken door een in Pakistan gevestigd telefoonnummer in te voeren. Sommige apps doen zich ook voor als een dienst voor het bestellen van eten in Pakistan en als een legitiem Indiaas ziekenhuis (nu omgedoopt tot Trilife Hospital).

XploitSPY, dat voor het eerst op GitHub verscheen in april 2020, is gekoppeld aan een Indiaas cyberbeveiligingsbedrijf genaamd XploitWizer. Het wordt beschouwd als een afgeleide van een andere open-source Android-trojan genaamd L3MON, die zelf inspiratie haalt uit AhMyth.

De mogelijkheden van XploitSpy

De malware kan verschillende gevoelige gegevens van geïnfecteerde apparaten verzamelen, waaronder GPS-locaties, microfoonopnamen, contacten, sms-berichten, oproeplogboeken en de inhoud van het klembord. Het heeft ook toegang tot meldingsgegevens van populaire apps zoals WhatsApp, Facebook, Instagram en Gmail, kan bestanden downloaden/uploaden, geïnstalleerde apps bekijken en opdrachten uitvoeren.

Om detectie te voorkomen, gebruiken de kwaadaardige apps verduisteringstechnieken, emulatordetectie, verbergen ze command-and-control-adressen en gebruiken ze een eigen bibliotheek genaamd "defcome-lib.so" om C2-serverinformatie te coderen en te verbergen. Als er een emulator wordt gedetecteerd, schakelt de app over naar een nep-C2-server om detectie te omzeilen.

Sommige van deze apps worden gedistribueerd via specifieke websites die voor dit doel zijn gemaakt, zoals "chitchat.ngrok[.]io", die een link biedt om het Android-pakketbestand ("ChitChat.apk") te downloaden dat op GitHub wordt gehost. Het is echter niet duidelijk hoe slachtoffers naar deze kwaadaardige apps worden geleid.