Mobilne złośliwe oprogramowanie XploitSpy rozmieszczone przeciwko ofiarom z Azji Południowej

Niedawna kampania złośliwego oprogramowania dla Androida, znana jako eXotic Visit, była skierowana głównie do użytkowników w Azji Południowej, szczególnie w Indiach i Pakistanie. Szkodnik rozprzestrzenia się za pośrednictwem dedykowanych stron internetowych i sklepu Google Play. Tę kampanię, która trwa od listopada 2021 r., monitoruje firma zajmująca się cyberbezpieczeństwem, ale nie udało jej się zidentyfikować sprawców. Grupę stojącą za tym nazwali Virtual Invaders.

Według raportu technicznego aplikacje zainfekowane złośliwym oprogramowaniem wydają się oferować legalne funkcje, ale zawierają także kod z Androida XploitSPY RAT o otwartym kodzie źródłowym. Kampania jest bardzo ukierunkowana, a liczba instalacji zainfekowanych aplikacji w Google Play waha się od zera do 45, zanim zostały one usunięte.

Złośliwe pakiety udające aplikacje społecznościowe

Zwodnicze aplikacje podszywają się pod usługi przesyłania wiadomości, takie jak Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger i Zaangi Chat. Według doniesień około 380 użytkowników pobrało te aplikacje, wierząc, że są to autentyczne platformy do przesyłania wiadomości.

Oprócz aplikacji do przesyłania wiadomości inne zwodnicze aplikacje to Sim Info i Telco DB, które podają, że dostarczają szczegółowych informacji o właścicielach kart SIM poprzez wprowadzenie numeru telefonu z Pakistanu. Niektóre aplikacje udają także usługę zamawiania jedzenia w Pakistanie i legalny indyjski szpital (obecnie przemianowany na Trilife Hospital).

XploitSPY, który po raz pierwszy pojawił się na GitHubie w kwietniu 2020 r., jest powiązany z indyjską firmą zajmującą się cyberbezpieczeństwem o nazwie XploitWizer. Uważa się, że jest to pochodna innego trojana dla Androida o otwartym kodzie źródłowym o nazwie L3MON, który sam czerpie inspirację z AhMyth.

Możliwości XploitSpy

Szkodnik może zbierać różne wrażliwe dane z zainfekowanych urządzeń, w tym lokalizacje GPS, nagrania z mikrofonu, kontakty, wiadomości SMS, dzienniki połączeń i zawartość schowka. Może także uzyskiwać dostęp do szczegółów powiadomień z popularnych aplikacji, takich jak WhatsApp, Facebook, Instagram i Gmail, pobierać/przesyłać pliki, przeglądać zainstalowane aplikacje i wykonywać polecenia.

Aby uniknąć wykrycia, złośliwe aplikacje wykorzystują techniki zaciemniania, wykrywanie emulatorów, ukrywanie adresów poleceń i kontroli oraz wykorzystują natywną bibliotekę o nazwie „defcome-lib.so” do kodowania i ukrywania informacji o serwerze C2. Jeśli zostanie wykryty emulator, aplikacja przełącza się na fałszywy serwer C2, aby uniknąć wykrycia.

Niektóre z tych aplikacji są dystrybuowane za pośrednictwem specjalnie utworzonych w tym celu witryn internetowych, takich jak „chitchat.ngrok[.]io”, które zawierają łącze do pobrania pliku pakietu dla systemu Android („ChitChat.apk”) hostowanego w serwisie GitHub. Nie jest jednak jasne, w jaki sposób ofiary są kierowane do tych złośliwych aplikacji.