Một chiến dịch phần mềm độc hại Android đang hoạt động có tên là eXotic Visit chủ yếu nhắm vào người dùng ở Nam Á, đặc biệt là ở Ấn Độ và Pakistan, với phần mềm độc hại được phân phối qua các trang web chuyên dụng và Google Play Store.

Công ty an ninh mạng Slovak cho biết hoạt động này, đang diễn ra từ tháng 11 năm 2021, không liên kết với bất kỳ nhóm hoạc tác nhân đe dọa nào đã biết. Họ đang theo dõi nhóm đứng sau hoạt động này dưới tên Virtual Invaders.
Nhà nghiên cứu an ninh của ESET, Lukáš Štefanko, nói trong một báo cáo kỹ thuật được phát hành hôm nay.
“Các ứng dụng đã tải xuống cung cấp chức năng hợp pháp, nhưng cũng bao gồm mã từ RAT XploitSPY mã nguồn mở dành cho Android,”
Chiến dịch được cho là có mục tiêu rất cao, với số lượng cài đặt của các ứng dụng trên Google Play rất ít, từ không đến 45. Các ứng dụng này đã bị gỡ bỏ.
Các ứng dụng giả nhưng hoạt động chính chủ yếu giả mạo dưới hình thức các dịch vụ nhắn tin như Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger và Zaangi Chat. Khoảng 380 nạn nhân được cho là đã tải xuống các ứng dụng và tạo tài khoản để sử dụng chúng cho mục đích nhắn tin.
Cũng được sử dụng như một phần của eXotic Visit là các ứng dụng như Sim Info và Telco DB, cả hai đều tuyên bố cung cấp thông tin về chủ sở hữu SIM chỉ bằng cách nhập số điện thoại có cơ sở tại Pakistan. Các ứng dụng khác giả mạo như một dịch vụ đặt thức ăn tại Pakistan cũng như một bệnh viện hợp pháp ở Ấn Độ có tên là Bệnh viện Chuyên gia (nay đã được đổi tên thành Bệnh viện Trilife).

XploitSPY, được tải lên GitHub từ tháng 4 năm 2020 bởi một người dùng có tên RaoMK, được liên kết với một công ty giải pháp an ninh mạng Ấn Độ có tên là XploitWizer. Nó cũng được mô tả là một nhánh của một Trojan Android mã nguồn mở khác có tên là L3MON, nguồn gốc từ AhMyth.
Nó đi kèm với một loạt các tính năng cho phép thu thập dữ liệu nhạy cảm từ các thiết bị bị nhiễm, như vị trí GPS, ghi âm từ microphone, danh bạ, tin nhắn SMS, nhật ký cuộc gọi và nội dung clipboard; trích xuất thông báo từ các ứng dụng như WhatsApp, Facebook, Instagram và Gmail; tải xuống và tải lên tệp; xem các ứng dụng đã cài đặt; và xếp hàng lệnh.
Hơn nữa, các ứng dụng độc hại được thiết kế để chụp ảnh và liệt kê các tệp trong một số thư mục liên quan đến ảnh chụp màn hình, WhatApp, WhatsApp Business, Telegram, và một phiên bản mod WhatsApp không chính thức được biết đến với tên GBWhatsApp.
“Trong suốt những năm qua, những kẻ tấn công này đã tùy chỉnh mã độc của họ bằng cách thêm mã hóa, phát hiện giả lập, ẩn địa chỉ [điều khiển và kiểm soát], và sử dụng thư viện gốc,” Štefanko nói.
Mục đích chính của thư viện gốc (“defcome-lib.so”) là giữ thông tin máy chủ C2 được mã hóa và ẩn khỏi các công cụ phân tích tĩnh. Nếu phát hiện giả lập, ứng dụng sẽ sử dụng máy chủ C2 giả để tránh bị phát hiện.
Một số ứng dụng đã được lan truyền thông qua các trang web được tạo ra đặc biệt cho mục đích này (“chitchat.ngrok[.]io”) cung cấp một liên kết đến tệp gói Android (“ChitChat.apk”) được lưu trữ trên GitHub. Hiện tại chưa rõ làm thế nào nạn nhân được đưa đến các ứng dụng này.
“Việc phân phối bắt đầu trên các trang web chuyên dụng và sau đó thậm chí đã chuyển sang cửa hàng Google Play chính thức,” Štefanko kết luận. “Mục đích của chiến dịch là gián điệp và có thể nhắm vào các nạn nhân ở Pakistan và Ấn Độ.”’
Nguồn: Theo THN