Индию и Пакистан накрыла волна шпионских Android-приложений

Индия Пакистан ESET eXotic Visit XploitSPY RAT
Индию и Пакистан накрыла волна шпионских Android-приложений
Индия Пакистан ESET eXotic Visit XploitSPY RAT

Новая кампания eXotic Visit нацелена на сбор данных невнимательных пользователей.

image

ESET сообщает о новой вредоносной кампании, нацеленной на пользователей в Южной Азии. Кампания eXotic Visit началась в ноябре 2021 года и распространяет вредоносное ПО через специализированные веб-сайты и Google Play Store.

Зараженные приложения, несмотря на предоставление легитимных функций, включают в себя код RAT-трояна XploitSPY с открытым исходным кодом. Некоторые приложения имитируют мессенджеры Alpha Chat, ChitChat и т.д., а другие приложения выдают себя за сервисы для заказа еды в Пакистане или индийскую больницу Trilife Hospital. Сообщается, что около 380 жертв загрузили приложения, имитирующие мессенджеры, и создали учетные записи, чтобы использовать их для обмена сообщениями.

Троян XploitSPY был загружен на GitHub еще в апреле 2020 года пользователем под ником RaoMK и связан с индийской ИБ-компанией XploitWizer. Вредоносный софт может собирать чувствительные данные с зараженных устройств, включая:

  • GPS-местоположение;
  • записи с микрофона;
  • контакты;
  • SMS-сообщения;
  • журналы вызовов;
  • содержимое буфера обмена.

XploitSPY также способен:

  • скачивать и загружать файлы;
  • выводить список установленных приложений;
  • извлекать детали уведомлений из WhatsApp, Facebook*, Instagram* и Gmail.

Основная цель вредоносных приложений – шпионаж , предположительно с фокусом на жертв в Пакистане и Индии. Вредоносные приложения разработаны также для перечисления файлов в нескольких каталогах, связанных со скриншотами и мессенджерами, включая WhatsApp и Telegram.

По данным ESET, злоумышленники постоянно модифицируют свой вредоносный код, добавляя обфускацию, обнаружение эмуляторов, скрытие адресов C2-серверов, использование нативной библиотеки. Если обнаруживается использование эмулятора, приложение использует поддельный C2-сервер для уклонения от обнаружения.

Распространение вредоносных приложений началось с сайтов, специально созданных для этой кампании. Сайты предоставляют ссылку на APK-файл, размещенный на GitHub. Затем распространение перешло в официальный магазин Google Play, где приложения имели незначительное количество установок — до 45. После обнаружения вредоносные программы были удалены из магазина.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!