Aktivna kampanja malvera za Android pod nazivom eXotic Visit prvenstveno cilja korisnike u južnoj Aziji, posebno one u Indiji i Pakistanu, sa zlonamjernim softverom koji se distribuiše putem namjenskih web stranica i Google Play Store-a.
Slovačka firma za sajber bezbjednost saopštila je da ta aktivnost, koja traje od novembra 2021. godine, nije povezana ni sa jednim poznatim akterom ili grupom. Prati grupu koja stoji iza operacije pod imenom Virtual Invaders .
“Preuzete aplikacije pružaju legitimnu funkcionalnost, ali takođe uključuju kod sa open-source Android XploitSPY RAT-a”, rekao je ESET-ov sigurnosni istraživač Lukáš Štefanko u tehničkom izvještaju objavljenom danas.
Rečeno je da je kampanja po prirodi visoko ciljana, s aplikacijama dostupnim na Google Play-u koje imaju zanemariv broj instalacija u rasponu od nula do 45. Aplikacije su od tada uklonjene.
Lažne, ali funkcionalne aplikacije prvenstveno se maskiraju u servise za razmjenu poruka kao što su Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger i Zaangi Chat. Navodi se da je otprilike 380 žrtava preuzelo aplikacije i kreiralo naloge kako bi ih koristilo za razmjenu poruka.
Kao dio eXotic Visit-a koriste se i aplikacije kao što su Sim Info i Telco DB, za koje obje tvrde da pružaju detalje o vlasnicima SIM kartice jednostavnim unosom telefonskog broja iz Pakistana. Druge aplikacije prolaze kao usluga naručivanja hrane u Pakistanu, kao i kao legitimna indijska bolnica pod nazivom Specijalistička bolnica (sada rebrendirana u Trilife Hospital).
XploitSPY, koji je na GitHub učitao korisnik po imenu RaoMK već u aprilu 2020, povezan je s indijskom kompanijom za sajber sigurnosna rješenja pod nazivom XploitWizer. Takođe je opisan kao fork drugog open-source Android trojanca pod nazivom L3MON, koji zauzvrat crpi inspiraciju iz AhMyth-a.
Dolazi sa širokim spektrom funkcija koje mu omogućavaju prikupljanje osjetljivih podataka sa zaraženih uređaja, kao što su GPS lokacije, snimci mikrofona, kontakti, SMS poruke, evidencije poziva i sadržaj međuspremnika; izdvajanje detalja obavijesti iz aplikacija kao što su WhatsApp, Facebook, Instagram i Gmail; preuzimanje i učitavanje datoteka; pregled instaliranih aplikacija; i naredbe u redu čekanja.
Povrh toga, zlonamjerne aplikacije su dizajnirane da snimaju slike i enumeriraju datoteke u nekoliko direktorija vezanih za snimke ekrana, WhatApp, WhatsApp Business, Telegram i neslužbeni WhatsApp mod poznat kao GBWhatsApp.
“Tokom godina, ovi hakeri su prilagođavali svoj zlonamjerni kod dodavanjem zamagljivanja, otkrivanja emulatora, skrivanja [komandno-kontrolnih] adresa i korištenjem izvorne biblioteke”, rekao je Štefanko.
Glavna svrha matične biblioteke (“defcome-lib.so”) je da zadrži informacije o C2 serveru kodiranim i skrivenim od alata za statičku analizu. Ako se otkrije emulator, aplikacija koristi lažni C2 server kako bi izbjegla otkrivanje.
Neke od aplikacija su propagirane putem web stranica koje su posebno kreirane za ovu svrhu (“chitchat.ngrok[.]io”) koje pružaju vezu do datoteke Android paketa (“ChitChat.apk”) koja se nalazi na GitHubu. Trenutno nije jasno kako se žrtve usmjeravaju na ove aplikacije.
“Distribucija je počela na namjenskim web stranicama, a potom se čak preselila u službenu Google Play trgovinu”, zaključio je Štefanko. “Svrha kampanje je špijunaža i vjerovatno je usmjerena na žrtve u Pakistanu i Indiji.”
Izvor:The Hacker News