Mobile Malware von XploitSpy
Eine neue Android-Malware-Kampagne namens „eXotic Visit“ zielte aktiv auf Benutzer in Südasien ab, insbesondere in Indien und Pakistan. Diese Kampagne verbreitete Malware über spezialisierte Websites und den Google Play Store.
Forscher beobachten diese Kampagne seit November 2021 und konnten keine Verbindung zu einem bekannten Bedrohungsakteur oder einer bekannten Bedrohungsgruppe finden. Sie haben die dahinter stehende Gruppe als „Virtual Invaders“ bezeichnet.
Die bedrohlichen Anwendungen, die aus diesen Quellen heruntergeladen werden, bieten legitime Funktionen, enthalten aber auch Code des Open-Source-Android-RAT XploitSPY. Diese Kampagne scheint sehr zielgerichtet zu sein, da die Anwendungen auf Google Play nur sehr wenige Installationen aufweisen (zwischen null und 45). Aufgrund der Forschungsergebnisse wurden diese Anwendungen von der Plattform entfernt.
Inhaltsverzeichnis
Der Angriff nutzte zahlreiche gefälschte Anwendungen aus
Die betrügerischen Anwendungen funktionierten weiterhin und tarnten sich hauptsächlich als Messaging-Plattformen wie Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger und Zaangi Chat. Berichten zufolge sind rund 380 Personen Opfer dieser Anwendungen geworden, indem sie Konten erstellt haben, um sie zum Versenden von Nachrichten zu verwenden.
Darüber hinaus werden im Rahmen der eXotic Visit-Kampagne Anwendungen wie Sim Info und Telco DB eingesetzt. Diese Anwendungen geben vor, durch die einfache Eingabe einer pakistanischen Telefonnummer Informationen über SIM-Kartenbesitzer bereitzustellen. Darüber hinaus geben andere Anwendungen vor, ein pakistanischer Essenslieferdienst und ein echtes indisches Krankenhaus namens Specialist Hospital (jetzt umbenannt in Trilife Hospital) zu sein.
Die mobile Malware XploitSpy verfügt über eine breite Palette aufdringlicher Funktionen
XploitSPY, das ursprünglich im April 2020 von einem Benutzer namens RaoMK auf GitHub hochgeladen wurde, hat Verbindungen zu einem indischen Unternehmen für Cybersicherheitslösungen namens XploitWizer. Es wurde als Derivat eines anderen Open-Source-Android-Trojaners namens L3MON identifiziert, der wiederum von AhMyth inspiriert ist.
Diese Malware verfügt über eine breite Palette von Funktionen, mit denen sie vertrauliche Daten von kompromittierten Geräten sammeln kann. Sie kann GPS-Standorte erfassen, Audio vom Mikrofon aufzeichnen, auf Kontakte, SMS-Nachrichten, Anrufprotokolle und Inhalte der Zwischenablage zugreifen. Sie kann auch Benachrichtigungsdetails aus beliebten Apps wie WhatsApp, Facebook, Instagram und Gmail extrahieren sowie Dateien herunterladen und hochladen, installierte Anwendungen anzeigen und in die Warteschlange gestellte Befehle ausführen.
Darüber hinaus sind die schädlichen Anwendungen darauf programmiert, Fotos aufzunehmen und Dateien aus bestimmten Verzeichnissen aufzulisten, die mit Screenshots, WhatsApp, WhatsApp Business, Telegram und einer modifizierten Version von WhatsApp namens GBWhatsApp verknüpft sind.
Angreifer legen zunehmend Wert auf Tarnung
Im Laufe der Jahre haben diese Bedrohungsakteure ihren schädlichen Code durch Verschleierung, Emulatorerkennung, Verstecken von C2-Adressen und Verwendung einer nativen Bibliothek angepasst. Der Hauptzweck der nativen Bibliothek „defcome-lib.so“ besteht darin, die C2-Serverinformationen verschlüsselt und vor statischen Analysetools verborgen zu halten. Wenn ein Emulator erkannt wird, verwendet die App einen gefälschten C2-Server, um der Erkennung zu entgehen.
Einige der Anwendungen wurden über eigens zu diesem Zweck erstellte Websites verbreitet, beispielsweise „chitchat.ngrok.io“, die einen Link zu einer Android-Paketdatei namens „ChitChat.apk“ bereitstellt, die auf GitHub gehostet wird. Es ist derzeit nicht klar, wie die Opfer zu diesen Anwendungen geleitet werden.
Forscher geben an, dass die Verbreitung auf speziellen Websites begann und dann sogar auf den offiziellen Google Play Store überging. Der Zweck der Kampagne ist Spionage und sie zielt wahrscheinlich auf Opfer in Pakistan und Indien ab.
