Новости Индию и Пакистан накрыла волна шпионских Android-приложений

NewsMaker

I'm just a script
Премиум
13,887
20
8 Ноя 2022
Новая кампания eXotic Visit нацелена на сбор данных невнимательных пользователей.


tvfhmakjqanw7dln95brhx8s3gmeaqkd.jpg


ESET Для просмотра ссылки Войди или Зарегистрируйся о новой вредоносной кампании, нацеленной на пользователей в Южной Азии. Кампания eXotic Visit началась в ноябре 2021 года и распространяет вредоносное ПО через специализированные веб-сайты и Google Play Store.

Зараженные приложения, несмотря на предоставление легитимных функций, включают в себя код RAT -трояна Для просмотра ссылки Войди или Зарегистрируйся с открытым исходным кодом. Некоторые приложения имитируют мессенджеры Alpha Chat, ChitChat и т.д., а другие приложения выдают себя за сервисы для заказа еды в Пакистане или индийскую больницу Trilife Hospital. Сообщается, что около 380 жертв загрузили приложения, имитирующие мессенджеры, и создали учетные записи, чтобы использовать их для обмена сообщениями.

Троян XploitSPY был загружен на GitHub еще в апреле 2020 года пользователем под ником Для просмотра ссылки Войди или Зарегистрируйся и связан с индийской ИБ-компанией XploitWizer. Вредоносный софт может собирать чувствительные данные с зараженных устройств, включая:

  • GPS-местоположение;
  • записи с микрофона;
  • контакты;
  • SMS-сообщения;
  • журналы вызовов;
  • содержимое буфера обмена.

XploitSPY также способен:

  • скачивать и загружать файлы;
  • выводить список установленных приложений;
  • извлекать детали уведомлений из WhatsApp, Facebook*, Instagram* и Gmail.

Основная цель вредоносных приложений – шпионаж, предположительно с фокусом на жертв в Пакистане и Индии. Вредоносные приложения разработаны также для перечисления файлов в нескольких каталогах, связанных со скриншотами и мессенджерами, включая WhatsApp и Telegram.

По данным ESET, злоумышленники постоянно модифицируют свой вредоносный код, добавляя обфускацию, обнаружение эмуляторов, скрытие адресов C2-серверов, использование нативной библиотеки. Если обнаруживается использование эмулятора, приложение использует поддельный C2-сервер для уклонения от обнаружения.

Распространение вредоносных приложений началось с сайтов, специально созданных для этой кампании. Сайты предоставляют ссылку на APK-файл, размещенный на GitHub. Затем распространение перешло в официальный магазин Google Play, где приложения имели незначительное количество установок — до 45. После обнаружения вредоносные программы были удалены из магазина.

<span style="font-size: 8pt;">* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.</span>
 
Источник новости
www.securitylab.ru

Похожие темы