Индию и Пакистан накрыла волна шпионских Android-приложений

ESET сообщает о новой вредоносной кампании, нацеленной на пользователей в Южной Азии. Кампания eXotic Visit началась в ноябре 2021 года и распространяет вредоносное ПО через специализированные веб-сайты и Google Play Store.

Зараженные приложения, несмотря на предоставление легитимных функций, включают в себя код RAT-трояна XploitSPY с открытым исходным кодом. Некоторые приложения имитируют мессенджеры Alpha Chat, ChitChat и т.д., а другие приложения выдают себя за сервисы для заказа еды в Пакистане или индийскую больницу Trilife Hospital. Сообщается, что около 380 жертв загрузили приложения, имитирующие мессенджеры, и создали учетные записи, чтобы использовать их для обмена сообщениями.

Троян XploitSPY был загружен на GitHub еще в апреле 2020 года пользователем под ником RaoMK и связан с индийской ИБ-компанией XploitWizer. Вредоносный софт может собирать чувствительные данные с зараженных устройств, включая:

• GPS-местоположение;
• записи с микрофона;
• контакты;
• SMS-сообщения;
• журналы вызовов;
• содержимое буфера обмена.

XploitSPY также способен:

• скачивать и загружать файлы;
• выводить список установленных приложений;
• извлекать детали уведомлений из WhatsApp, Facebook*, Instagram* и Gmail.

Основная цель вредоносных приложений – шпионаж, предположительно с фокусом на жертв в Пакистане и Индии. Вредоносные приложения разработаны также для перечисления файлов в нескольких каталогах, связанных со скриншотами и мессенджерами, включая WhatsApp и Telegram.

По данным ESET, злоумышленники постоянно модифицируют свой вредоносный код, добавляя обфускацию, обнаружение эмуляторов, скрытие адресов C2-серверов, использование нативной библиотеки. Если обнаруживается использование эмулятора, приложение использует поддельный C2-сервер для уклонения от обнаружения.

Распространение вредоносных приложений началось с сайтов, специально созданных для этой кампании. Сайты предоставляют ссылку на APK-файл, размещенный на GitHub. Затем распространение перешло в официальный магазин Google Play, где приложения имели незначительное количество установок — до 45. После обнаружения вредоносные программы были удалены из магазина.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.