Η εκστρατεία spyware “eXotic Visit” στοχεύει χρήστες που χρησιμοποιούν Android συσκευές στη Νότια Ασία, κυρίως στην Ινδία και το Πακιστάν.
Η λειτουργία του “eXotic Visit” είναι να διανέμει κακόβουλο λογισμικό μέσω αποκλειστικών ιστότοπων και του Google Play Store.
Η εταιρεία κυβερνοασφάλειας της Σλοβακίας ανακοίνωσε ότι η δραστηριότητα αυτή, η οποία έχει ξεκινήσει από τον Νοέμβριο του 2021, δεν έχει καμία σχέση με κάποιον γνωστό φορέα ή ομάδα απειλής. Η εταιρεία επιβλέπει την ομάδα που βρίσκεται πίσω από την εν λόγω επιχείρηση, η οποία φέρει το όνομα Virtual Invaders.
Διαβάστε επίσης: Apple: Προειδοποιεί χρήστες iPhone για επιθέσεις spyware
“Οι εφαρμογές που έχουν ληφθεί παρέχουν νόμιμες λειτουργίες, αλλά ενσωματώνουν επίσης κώδικα από το open-source Android XploitSPY RAT,” σύμφωνα με τον ερευνητής ασφαλείας της ESET, Lukáš Štefanko.
Η εν λόγω εκστρατεία χαρακτηρίζεται από την εξαιρετικά ειδικευμένη φύση της, με τις εφαρμογές που ήταν προσβάσιμες στο Google Play να παρουσιάζουν εξαιρετικά χαμηλούς αριθμούς εγκαταστάσεων, που κυμαίνονται από μηδέν έως 45. Οι συγκεκριμένες εφαρμογές έχουν πλέον αποσυρθεί.
Οι εφαρμογές που είναι ψεύτικες αλλά κατά τα άλλα λειτουργικές, συχνά παρουσιάζονται ως δημοφιλείς υπηρεσίες ανταλλαγής μηνυμάτων, ανάμεσα στις οποίες περιλαμβάνονται οι Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger και Zaangi Chat. Εκτιμάται ότι περίπου 380 άτομα έχουν κατεβάσει αυτές τις εφαρμογές και έχουν δημιουργήσει λογαριασμούς, χρησιμοποιώντας τες για ανταλλαγή μηνυμάτων.
Στο πλαίσιο του eXotic Visit, χρησιμοποιούνται εξειδικευμένες εφαρμογές όπως το Sim Info και το Telco DB. Αυτές οι εφαρμογές έχουν την ικανότητα να παρέχουν λεπτομερείς πληροφορίες για τους κατόχους SIM καρτών στο Πακιστάν, απλώς με την εισαγωγή ενός τηλεφωνικού αριθμού. Επιπλέον, άλλες εφαρμογές παρουσιάζονται ως υπηρεσίες παραγγελίας φαγητού στο Πακιστάν ή ακόμα και ως νόμιμα ιατρικά ιδρύματα στην Ινδία, όπως το Specialist Hospital, το οποίο πλέον έχει μετονομαστεί σε Trilife Hospital.
Το XploitSPY, το οποίο ανέβηκε στο GitHub ήδη από τον Απρίλιο του 2020 από έναν χρήστη με το όνομα RaoMK, σχετίζεται με μια ινδική εταιρεία λύσεων ασφάλειας στον κυβερνοχώρο που ονομάζεται XploitWizer. Έχει επίσης περιγραφεί ως μια εξέλιξη ενός άλλου trojan Android ανοιχτού κώδικα που ονομάζεται L3MON, το οποίο, με τη σειρά του, εμπνέεται από το AhMyth.
Επιτρέπει τη συλλογή ευαίσθητων δεδομένων από μολυσμένες συσκευές, που περιλαμβάνουν τοποθεσίες GPS, ηχογραφήσεις μικροφώνου, επαφές, μηνύματα SMS, αρχεία καταγραφής κλήσεων, και το περιεχόμενο του προχείρου. Επιπλέον, μπορεί να εξάγει λεπτομέρειες ειδοποιήσεων από δημοφιλείς εφαρμογές όπως WhatsApp, Facebook, Instagram, και Gmail, να λαμβάνει και να αποστέλλει αρχεία, να προβάλλει τις εγκατεστημένες εφαρμογές και να εκτελεί εντολές.
Επιπρόσθετα, οι κακόβουλες εφαρμογές έχουν αναπτυχθεί με σκοπό την καταγραφή φωτογραφιών και την καταμέτρηση αρχείων σε ποικίλους φακέλους, οι οποίοι σχετίζονται με στιγμιότυπα οθόνης, το WhatsApp, το WhatsApp Business, το Telegram καθώς και μια ανεπίσημη έκδοση του WhatsApp, γνωστή ως GBWhatsApp.
«Με το πέρασμα των χρόνων, οι δημιουργοί κακόβουλου λογισμικού έχουν αναβαθμίσει σημαντικά τις μεθόδους τους, ενσωματώνοντας προηγμένες τεχνικές όπως “code obfuscation”, ανίχνευση εξομοιωτών, απόκρυψη των διευθύνσεων ελέγχου και εντολών, και χρήση native library», σύμφωνα με τον Štefanko.
Η κύρια λειτουργία της εγγενούς βιβλιοθήκης (“defcome-lib.so”) είναι η κωδικοποίηση και η απόκρυψη των πληροφοριών διακομιστή C2, προκειμένου να μην ανιχνευθούν από εργαλεία στατικής ανάλυσης. Σε περίπτωση ανίχνευσης εξομοιωτή, η εφαρμογή προσαρμόζεται χρησιμοποιώντας έναν εικονικό διακομιστή C2 για να παρακάμψει την ανίχνευση.
Δείτε περισσότερα: ΗΠΑ: Κυρώσεις στους χειριστές του Predator spyware
Ορισμένες εφαρμογές έχουν διαδοθεί μέσω ειδικά διαμορφωμένων ιστοσελίδων για τον σκοπό αυτό (“chitchat.ngrok[.]io”), παρέχοντας σύνδεσμο για τη λήψη ενός Android πακέτου (“ChitChat.apk”) που φιλοξενείται στο GitHub. Επί του παρόντος, δεν είναι σαφές πώς τα θύματα κατευθύνονται προς τη χρήση αυτών των εφαρμογών.
«Η διανομή ξεκίνησε αρχικά από πιο εξειδικευμένους ιστότοπους και στην πορεία επεκτάθηκε στο επίσημο κατάστημα Google Play», τόνισε ο Štefanko. «Ο σκοπός της εκστρατείας είναι η κατασκοπεία (spyware) και τα θύματά του βρίσκονται στο Πακιστάν και την Ινδία».
Πηγή: thehackernews