ESET 연구원들은 주로 메시징 서비스로 위장한 앱을 사용하여 Android 사용자를 표적으로 삼는 활동적인 스파이 캠페인을 발견했습니다. 이러한 앱은 기능적인 서비스를 미끼로 제공하지만 오픈 소스 XploitSPY 악성 코드와 함께 번들로 제공됩니다. 우리는 이 캠페인을 eXotic Visit라고 명명하고 2021년 2023월부터 XNUMX년 말까지 활동을 추적했습니다. 표적 캠페인은 전용 웹사이트를 통해 악성 안드로이드 앱을 배포해 왔으며 한동안 Google Play 스토어를 통해서도 배포했습니다. 캠페인의 타겟 특성으로 인해 Google Play에서 제공되는 앱의 설치 수가 적었습니다. 모두 상점에서 제거되었습니다. eXotic Visit 캠페인은 주로 파키스탄과 인도의 일부 Android 사용자 그룹을 대상으로 하는 것으로 보입니다. 이 캠페인이 알려진 그룹과 연결되어 있다는 표시는 없습니다. 그러나 우리는 Virtual Invaders라는 이름으로 배후에 있는 위협 행위자를 추적하고 있습니다.
보고서의 요점:
- eXotic Visit라고 명명된 이 적극적이고 표적화된 Android 스파이 캠페인은 2021년 말에 시작되었으며 주로 전용 웹사이트와 Google Play를 통해 배포되는 메시징 앱을 가장합니다.
- 전반적으로, 이 글을 쓰는 시점에 약 380명의 피해자가 두 소스 모두에서 앱을 다운로드하고 메시징 기능을 사용하기 위해 계정을 만들었습니다. 캠페인의 타겟 특성으로 인해 Google Play에서 각 앱의 설치 횟수는 45에서 XNUMX 사이로 상대적으로 낮습니다.
- 다운로드한 앱은 합법적인 기능을 제공하지만 오픈 소스 Android RAT XploitSPY의 코드도 포함합니다. 동일한 C&C, 고유한 사용자 지정 악성 코드 업데이트, 동일한 C&C 관리 패널을 사용하여 샘플을 연결했습니다.
- 수년에 걸쳐 이러한 위협 행위자는 난독화, 에뮬레이터 탐지, C&C 주소 숨기기, 기본 라이브러리 사용을 추가하여 악성 코드를 사용자 정의했습니다.
- 관심 지역은 남아시아인 것으로 보입니다. 특히 파키스탄과 인도의 피해자들이 표적이 됐다.
- 현재 ESET 연구에서는 이 활동을 알려진 위협 그룹의 소행으로 간주할 만큼 충분한 증거가 없습니다. 우리는 그룹을 내부적으로 가상 침입자로 추적합니다.
XploitSPY가 포함된 앱은 연락처 목록과 파일을 추출하고 장치의 GPS 위치와 카메라, 다운로드 및 Telegram 및 WhatsApp과 같은 다양한 메시징 앱과 관련된 특정 디렉터리에 나열된 파일 이름을 가져올 수 있습니다. 특정 파일 이름이 관심 있는 것으로 식별되면 명령 및 제어(C&C) 서버의 추가 명령을 통해 해당 디렉터리에서 해당 파일 이름을 추출할 수 있습니다. 흥미롭게도 XploitSPY와 통합된 채팅 기능의 구현은 독특합니다. 우리는 이 채팅 기능이 Virtual Invaders 그룹에 의해 개발되었다고 강력히 믿습니다.
또한 이 악성코드는 성능을 향상하고 시스템 기능에 액세스하기 위해 Android 앱 개발에 자주 사용되는 네이티브 라이브러리를 사용합니다. 그러나 이 경우 라이브러리는 C&C 서버 주소와 같은 민감한 정보를 숨기는 데 사용되므로 보안 도구가 앱을 분석하기가 더 어려워집니다.
아래 섹션에 설명된 앱은 Google Play에서 삭제되었습니다. 게다가 Google 앱 방어 연합 파트너인 ESET은 XploitSPY 기반 코드가 포함된 10개의 추가 앱을 식별하고 그 결과를 Google과 공유했습니다. 경고에 따라 앱이 스토어에서 제거되었습니다. 아래에 설명된 각 앱은 설치 수가 적어 광범위한 전략보다는 타겟 접근 방식을 제안합니다. 아래의 eXotic Visit 앱 타임라인 섹션에서는 이 캠페인의 일부로 식별된 기능적이지만 "가짜" 앱에 대해 설명하는 반면, 기술 분석 섹션에서는 해당 앱 전반에 걸쳐 다양한 형태로 존재하는 XploitSPY 코드의 세부 사항에 중점을 둡니다.
eXotic Visit 앱의 타임라인
연대순으로 12월 XNUMX일부터 시작th, 2022년, MalwareHunterTeam은 짹짹 인기 있는 중국 WeChat 애플리케이션을 가장한 WeTalk라는 앱을 배포하는 웹사이트에 대한 링크와 해시가 포함되어 있습니다. 해당 웹사이트는 악성 안드로이드 앱을 다운로드할 수 있는 GitHub 프로젝트에 대한 링크를 제공했습니다. GitHub에서 제공되는 날짜를 기준으로 위톡.apk 2021년 XNUMX월에 앱이 업로드되었습니다.
당시 이 이름을 사용하는 앱은 5개나 있었습니다. ChitChat.apk, LearnSindhi.apk, SafeChat.apk, 위챗.apk및 위톡.apk. ChitChat 앱은 2021년 XNUMX월부터 GitHub에서 사용할 수 있었으며 전용 웹사이트(chitchat.ngrok[.]io; 그림 1 참조) 뿐만 아니라 악성 우리는 이야기 앞서 언급한 앱. 둘 다 그림 2에 표시된 관리자 패널 로그인 인터페이스와 동일한 C&C 주소를 사용합니다.
2023년 XNUMX월부터 동일한 GitHub 계정에서 동일한 악성 코드와 C&C 서버를 사용하는 새로운 악성 Android 앱이 호스팅되었습니다. 이러한 앱이 어떻게 배포되는지에 대한 정보가 없습니다. 앱은 다음과 같은 이름을 사용하여 XNUMX개의 저장소에 저장됩니다. ichat.apk, 내앨범.apk, PersonalMessenger.apk, 사진 콜라주 그리드 및 Pic Maker.apk, Pics.apk, PrivateChat.apk, SimInfo.apk, 전문병원.apk, Spotify_ 음악 및 Podcasts.apk, TalkUChat.apk및 Android.apk용 테마.
로 돌아 가기 ChitChat.apk 및 위톡.apk: 두 앱 모두 약속된 메시징 기능을 포함하고 있지만 오픈 소스로 식별된 악성 코드도 포함되어 있습니다. XploitSPY GitHub에서 사용 가능합니다. XploitSPY는 또 다른 오픈 소스 Android RAT인 XploitSPY를 기반으로 합니다. L3MON; 그러나 작성자가 GitHub에서 제거했습니다. L3MON은 또 다른 오픈 소스 Android RAT에서 영감을 받았습니다. 아신화, 확장된 기능 포함(이번 글에서는 AhMyth에서 파생된 또 다른 Android RAT에 대해 다루었습니다. WeLiveSecurity 블로그 포스트).
대상 장치의 간첩 및 원격 제어가 앱의 주요 목적입니다. 악성 코드는 다음을 수행할 수 있습니다.
- 장치의 파일 나열,
- SMS 메시지 보내기,
- 통화 기록, 연락처, 문자 메시지, 설치된 앱 목록을 가져옵니다.
- 주변 Wi-Fi 네트워크, 장치 위치 및 사용자 계정 목록을 가져오고,
- 카메라를 이용해 사진을 찍고,
- 장치 주변의 오디오를 녹음하고
- WhatsApp, Signal 및 문자열이 포함된 기타 알림에 대해 수신된 알림을 가로챕니다. 새 메시지.
마지막 기능은 메시징 앱에서 수신된 메시지를 가로채려는 게으른 시도일 수 있습니다.
앞서 언급한 앱에서 사용했던 것과 동일한 C&C 주소(위챗.apk 및 ChitChat.apk)은 Dink 메신저에서도 사용됩니다. 기반 바이러스토탈의 실제 URL에 대한 이 샘플은 24월 XNUMX일 letchitchat[.]info에서 다운로드할 수 있습니다.th, 2022. 해당 도메인은 28월 XNUMX일에 등록되었습니다.th, 2022. 공격자는 메시징 기능 외에도 XploitSPY를 기반으로 한 악성 코드를 추가했습니다.
11 월 8th, 2022년, MalwareHunter팀 트위트 된 악성 Android의 해시 알파챗.apk 앱이 있는 웹 사이트 다운로드. 해당 앱은 Dink 메신저 앱과 동일한 도메인에서 다운로드할 수 있었습니다(레치챗[.]정보). Alpha Chat 앱은 그림 2와 동일한 C&C 서버 및 C&C 관리자 패널 로그인 페이지를 사용하지만 포트는 다릅니다. 해당 앱에도 동일한 악성코드가 포함되어 있습니다. 도메인에서 Dink Messenger를 언제 사용할 수 있었는지에 대한 정보가 없습니다. 이후에는 Alpha Chat으로 대체되었습니다.
eXotic Visit 캠페인의 이전 버전 XploitSPY와 비교했을 때 트로이 목마에 감염된 Alpha Chat 앱에는 에뮬레이터 감지 기능이 포함된 악성 코드 업데이트가 포함되어 있습니다. 이 앱이 에뮬레이터에서 실행 중임을 감지하면 그림 3과 같이 실제 주소를 표시하는 대신 가짜 C&C 주소를 사용합니다. 이렇게 하면 동적 분석을 수행하는 동안 자동화된 악성 코드 샌드박스가 실제 주소를 식별하는 것을 방지할 수 있습니다. C&C 서버입니다.
Alpha Chat은 또한 추가 C&C 주소를 사용하여 2MB가 넘는 이미지가 아닌 파일을 추출합니다. 다른 파일은 웹 소켓을 통해 C&C 서버로 유출됩니다.
이것이 Dink Messenger와 Alpha Chat 앱 간의 연결입니다. 둘 다 동일한 전용 웹사이트에 배포되었습니다. 하지만 Dink 메신저도 Google Play 스토어를 통해 신중하게 배포되었습니다. Dink 메신저 버전 1.0이 8월 XNUMX일 Google Play에 등장했습니다.th, 2022년 버전이지만 악성 기능은 포함되어 있지 않습니다. 이는 위협 행위자가 앱의 유효성을 검사하고 성공적으로 스토어에 업로드할 수 있는지 확인하기 위한 테스트였을 수 있습니다. 24월 XNUMX일th, 2022, 버전 1.2가 업로드되었지만 여전히 악성 기능은 없습니다. 당시 해당 앱은 15번 이상 설치됐다. 10월 XNUMX일th, 2022년 버전 1.3이 Google Play에 업로드되었습니다. 이 버전에는 그림 4와 같이 악성 코드가 포함되어 있습니다.
이후 동일한 악성 코드가 포함된 세 가지 버전이 Google Play에 추가로 업로드되었습니다. 마지막 버전 1.6은 15월 XNUMX일에 업로드되었습니다.th, 2022. 전체적으로 이 40개 버전은 XNUMX회 이상 설치되었습니다. 앱이 스토어에서 언제 제거되었는지에 대한 정보는 없습니다. 악성 코드가 있거나 없는 모든 앱 버전은 동일한 개발자 인증서로 서명되었습니다. 즉, 동일한 악성 개발자가 앱을 구축하고 Google Play에 푸시했음을 의미합니다.
Dink 메신저 앱은 다음에서 사용할 수 있다는 점을 언급하는 것도 중요합니다. 레치챗[.]정보 Google Play의 Dink 메신저 앱과 동일한 C&C 서버를 사용했으며 확장된 악의적인 작업을 수행할 수 있었습니다. 그러나 각각의 사용자 인터페이스는 달랐습니다(그림 5 참조). Google Play의 Dink 메신저는 에뮬레이터 검사(알파 채팅과 마찬가지로)를 구현한 반면, 전용 웹사이트의 메신저는 그렇지 않았습니다.
8월 15에th, 2022, Telco DB 앱(패키지 이름 포함) com.infinitetechnology.telcodb)는 전화번호 소유자에 대한 정보를 제공한다고 주장하며 대체 앱 스토어에 업로드되었습니다. 그림 6을 참조하세요. 이 앱에는 동일한 악성 코드, 가짜 C&C 주소 리디렉션이 포함된 새로 추가된 에뮬레이터 검사, 파일 추출을 위한 추가 C&C 서버가 있습니다. C&C 주소는 이전 경우처럼 하드코딩되지 않습니다. 오히려 Firebase 서버에서 반환됩니다. 우리는 이것이 실제 C&C 서버를 숨기고 어쩌면 미래에 업데이트하기 위한 또 다른 속임수라고 믿습니다. 우리는 높은 수준의 확신을 가지고 이 앱이 eXotic Visit 캠페인의 일부라고 평가합니다.
나흘 뒤인 19월 XNUMX일th, 2022년 캠페인의 일환으로 Sim Info 앱이 Google Play에 업로드되었습니다. 또한 사용자에게 전화번호 소유자에 대한 정보를 제공한다고 주장합니다.
악성코드는 이전 샘플과 동일한 C&C 서버와 통신하며, 위협 행위자가 네이티브 라이브러리를 포함했다는 점만 제외하면 동일합니다. 도구 세트 섹션에서 이 기본 라이브러리에 대해 자세히 설명합니다. Sim Info는 Google Play에서 30회 이상 설치되었습니다. 언제 매장에서 제거되었는지에 대한 정보가 없습니다.
유월 21에서st, 2023년, 악성 Defcom 앱이 Google Play에 업로드되었습니다. 그림 7을 참조하세요.
Defcom은 eXotic Visit 캠페인의 일부인 트로이 목마 메시지 앱으로, 동일한 악성 코드와 기본 라이브러리를 사용하여 C&C 서버를 검색합니다. 새로운 C&C 서버를 사용하지만 그림 2에 표시된 것과 동일한 관리 패널 로그인 인터페이스를 사용합니다. 이 C&C 도메인(zee.xylonn[.]com)은 2월 XNUMX일에 등록되었습니다.nd, 2023.
앱이 삭제되기 전인 2023년 XNUMX월쯤 Google Play에서 약 XNUMX건의 설치가 이루어졌습니다.
그림 8에서는 캠페인의 일환으로 모든 앱을 처음 다운로드할 수 있었던 시기를 보여줍니다.
이미 언급된 캠페인의 일부 악성 앱 외에도 추가 앱이 Google Play에 업로드된 것을 식별할 수 있었고 다른 앱도 업로드를 시도했지만 업로드가 성공했는지 여부는 알 수 없습니다. 동일한 탐지 이름을 기반으로 식별했지만, 이를 분석하고 동일한 캠페인의 일부인지 확인하기 위한 샘플을 확보할 수 없었습니다. 어쨌든 XploitSPY를 기반으로 한 악성 코드가 포함되어 있습니다. 표 1에는 Google Play에서 사용할 수 있는 XploitSPY 앱이 나열되어 있습니다. 이들 앱은 각각 설치 수가 적었습니다. Google Play에서 사용할 수 있는 상당수의 앱은 설치 수가 전혀 없었으며 일부는 설치 수가 10회 미만이었습니다. Play 스토어에서 가장 높은 설치 수는 45개 미만이었습니다.
표 1. Google Play에서 사용할 수 있는 더 많은 XploitSPY 포함 앱
앱 이름 |
패키지 이름 |
Google Play에 업로드된 날짜 |
잔이 채팅 |
com.infinite.zaangichat |
22년 XNUMX월nd, 2022 |
고리버들 메신저 |
com.reelsmart.wickermessenger |
25년 XNUMX월에th, 2022 |
경비 추적기 |
com.solecreative.expensemanager |
4년 XNUMX월th, 2022 |
표 2에는 개발자가 Google Play에 업로드하려고 시도한 악성 앱이 나열되어 있습니다. 그러나 Google Play에서 사용할 수 있게 되었는지 여부에 대한 정보는 없습니다.
표 2. Google Play에 업로드된 XploitSPY 포함 앱
앱 이름 |
패키지 이름 |
Google Play에 업로드된 날짜 |
시그널 라이트 |
com.techexpert.signallite |
1년 일월st, 2021 |
통신DB |
com.infinitetech.telcodb |
25년 XNUMX월th, 2022 |
통신DB |
com.infinitetechnology.telcodb |
29년 XNUMX월th, 2022 |
텔레챗 |
com.techsight.telechat |
8년 XNUMX월th, 2022 |
예산 추적 |
com.solecreative.trackbudget |
30년 일월th, 2022 |
SnapMe |
com.zcoders.snapme |
30년 일월th, 2022 |
토크유 |
com.takewis.talkuchat |
2월 14th, 2023 |
ESET은 App Defense Alliance의 회원이자 PHA(잠재적으로 위험한 애플리케이션)를 신속하게 찾아 Google Play에 추가되기 전에 차단하는 것을 목표로 하는 맬웨어 완화 프로그램의 적극적인 파트너입니다.
Google App Defense Alliance 파트너인 ESET은 언급된 모든 앱을 악성으로 식별하고 그 결과를 Google과 공유했으며 Google은 이후 해당 앱을 게시 취소했습니다. Google Play에 있던 보고서에서 확인된 모든 앱은 더 이상 Play 스토어에서 사용할 수 없습니다.
피해자학
우리 연구에 따르면 eXotic Visit에서 개발한 악성 앱은 Google Play 및 전용 웹사이트를 통해 배포되었으며, 해당 앱 중 4개는 대부분 파키스탄과 인도의 사용자를 표적으로 삼았습니다. 우리는 우크라이나의 Android 기기에서 Sim Info라는 앱 4개 중 하나를 감지했지만, 이 앱은 Google Play에서 누구나 다운로드할 수 있었기 때문에 우크라이나가 특별히 표적이 되었다고 생각하지 않습니다. 우리 데이터에 따르면 Google Play에서 제공되는 각 악성 앱은 수십 번 다운로드되었습니다. 그러나 다운로드 세부 정보는 볼 수 없습니다.
우리는 Sim Info, Telco DB(com.infinitetechnology.telcodb), Shah jee Foods 및 전문 병원.
Sim Info 및 Telco DB 앱은 사용자에게 온라인 서비스를 사용하여 모든 파키스탄 휴대폰 번호에 대한 SIM 소유자 정보를 검색할 수 있는 기능을 제공합니다. dbcenteruk.com; 그림 9를 참조하세요.
7 월 8에서th, 2022년에는 Shah jee Foods라는 앱이 업로드되었습니다. VirusTotal 파키스탄 출신. 이 앱은 캠페인의 일부입니다. 시작 후 파키스탄 지역의 음식 주문 웹사이트를 표시하고, foodpanda.pk.
GitHub에서 사용할 수 있는 Specialist Hospital 앱은 인도의 Specialist Hospital(professionalhospital.in); 그림 10을 참조하세요. 시작 후 앱은 악의적인 활동을 수행하는 데 필요한 권한을 요청한 다음 사용자에게 합법적인 앱을 설치하도록 요청합니다. 구글 플레이.
우리는 이들 앱 중 일부에서 생성된 380개 이상의 손상된 계정을 찾을 수 있었습니다. 그러나 우리는 그들의 지리적 위치를 검색할 수 없었습니다. XNUMX개의 앱에서 동일한 안전하지 않은 코드가 발견되었으므로 해당 코드가 동일한 위협 행위자에 의해 개발되었다고 높은 수준의 확신을 가지고 말할 수 있습니다.
속성
우리는 2021년 말부터 활성화된 이 작업을 eXotic Visit로 추적하지만 ESET 연구 및 다른 연구에 따르면 이 캠페인을 알려진 그룹에 기인할 수 없습니다. 결과적으로 우리는 내부적으로 이 작전을 수행하는 그룹을 가상 침입자(Virtual Invaders)로 분류했습니다.
XploitSPY는 널리 사용 가능하며 다음과 같은 여러 위협 행위자가 사용자 정의 버전을 사용했습니다. 투명한 부족 문서에 따르면 APT 그룹 메타. 그러나 우리가 eXotic Visit 캠페인의 일부로 설명하는 앱에서 발견된 수정 사항은 독특하며 이전에 문서화된 XploitSPY 악성 코드 변종의 수정 사항과 다릅니다.
기술적 분석
초기 액세스
장치에 대한 초기 액세스는 잠재적인 피해자를 속여 가짜이지만 작동하는 앱을 설치함으로써 획득됩니다. eXotic Visit 앱 타임라인 섹션에 설명된 대로 악성 ChitChat 및 WeTalk 앱은 전용 웹사이트(chitchat.ngrok[.]io 및 wetalk.ngrok[.]io, 각각), GitHub(https://github[.]com/Sojal87/).
그 당시에는 세 가지 앱이 더 있었습니다. LearnSindhi.apk, SafeChat.apk및 위챗.apk – 동일한 GitHub 계정에서 사용할 수 있었습니다. 우리는 그들의 분포 벡터를 알지 못합니다. 2023년 XNUMX월부터 이러한 앱은 더 이상 GitHub 저장소에서 다운로드할 수 없습니다. 그러나 동일한 GitHub 계정은 이제 다운로드할 수 있는 여러 가지 새로운 악성 앱을 호스팅합니다. 이러한 새로운 앱은 모두 동일한 XploitSPY 코드의 변종을 포함하고 있기 때문에 악성 eXotic Visit 스파이 캠페인의 일부이기도 합니다.
Dink 메신저와 알파 채팅 앱은 전용 웹사이트(레치챗[.]정보), 피해자는 앱을 다운로드하고 설치하도록 유도되었습니다.
Dink Messenger, Sim Info 및 Defcom 앱은 Google에서 제거할 때까지 Google Play에서 사용할 수 있었습니다.
툴셋
분석된 모든 앱에는 다음에서 사용할 수 있는 악성 XploitSPY 앱의 코드 사용자 정의가 포함되어 있습니다. GitHub의. 2021년 첫 번째 버전이 나온 이후 2023년 XNUMX월 첫 배포된 최신 버전까지 지속적인 개발 노력을 기울여왔습니다. Virtual Invaders에는 다음이 포함됩니다.
- 에뮬레이터가 감지되면 가짜 C&C 서버를 사용합니다.
- 코드 난독화,
- C&C 주소를 Firebase 서버에서 검색하여 정적 분석에서 숨기려는 시도
- C&C 서버 및 기타 정보를 인코딩하고 정적 분석 도구에서 숨기는 기본 라이브러리를 사용합니다.
다음은 Google Play에서 사용할 수 있는 Defcom 앱의 맞춤형 XploitSPY 악성 코드에 대한 분석입니다.
Defcom은 XploitSPY 코드를 독특한 채팅 기능과 통합합니다. 우리는 채팅 기능이 Virtual Invaders에 의해 만들어졌다고 확신합니다. 이는 XploitSPY가 포함된 다른 모든 메시징 앱에 적용됩니다.
앱이 처음 시작된 후 사용자에게 계정을 생성하라는 메시지를 표시하는 동시에 쿼리를 통해 장치 위치 세부 정보를 얻으려고 시도합니다. api.ipgeolocation.io 결과를 Firebase 서버로 전달합니다. 이 서버는 메시징 구성 요소의 서버 역할도 합니다. 앱 인터페이스는 그림 11에 나와 있습니다.
데프콤은 네이티브 라이브러리, 성능 향상 및 시스템 기능 액세스를 위해 Android 앱 개발에 자주 사용됩니다. C 또는 C++로 작성된 이러한 라이브러리는 악성 기능을 숨기는 데 사용될 수 있습니다. Defcom의 기본 라이브러리 이름은 다음과 같습니다. defcome-lib.so.
defcome-lib.so의 목적은 정적 앱 분석에서 C&C 서버와 같은 민감한 정보를 숨기는 것입니다. 라이브러리에 구현된 메서드는 런타임 중에 악성 코드에 의해 디코딩되는 base64로 인코딩된 문자열을 반환합니다. 이 기술은 그다지 정교하지는 않지만 정적 분석 도구가 C&C 서버를 추출하는 것을 방지합니다. 그림 12는 Java 코드의 기본 메소드 선언을 보여주고, 그림 13은 구현을 보여줍니다. getServerUrl 어셈블리 코드의 메소드 그림 12의 각 선언 위의 주석은 해당 메서드를 호출할 때 디코딩된 반환 값입니다.
손상된 장치에서 실행할 명령은 C&C 서버에서 반환됩니다. 각 명령은 문자열 값으로 표시됩니다. 명령 목록은 다음과 같습니다.
- 0xCO – 연락처 목록을 가져옵니다.
- 0xDA – 장치에서 파일을 추출합니다. C&C 서버로부터 파일 경로를 받습니다.
- 0xFI – 서버가 지정한 디렉토리의 파일을 나열합니다. 추가 인수를 사용하면 지정된 디렉터리에서 C&C 서버로 파일을 업로드할 수 있습니다.
- 0xIP – 다음을 사용하여 장치 위치 정보를 얻습니다. ipgeolocation.io 서비스를 제공합니다.
- 0xLO – 장치 GPS 위치를 가져옵니다.
- 0xOF – 7개의 특정 디렉터리에 있는 파일을 나열합니다. 4가지 경우에는 파일 경로가 하드코딩되어 있고, 3가지 경우에는 폴더 이름만 하드코드되어 있습니다. 추가 인수는 디렉터리를 지정합니다.
- 0xCA – 카메라
- 0xDW – 다운로드
- 0xSS – /storage/에뮬레이트/0/사진/스크린샷
- 0xTE – 텔레그램
- 0xWB – /storage/emulated/0/Android/media/com.whatsapp.w4b/WhatsApp 비즈니스/미디어
- 0xWG – /storage/emulated/0/Android/media/com.gbwhatsapp/GBWhatsApp/Media
- 0xWP – /storage/emulated/0/Android/media/com.whatsapp/WhatsApp/Media
흥미롭게도 GB WhatsApp은 WhatsApp의 비공식 복제 버전입니다. 이 앱은 꽤 인기를 끌었던 추가 기능을 제공하지만, Google Play에서는 사용할 수 없다는 점을 알아 두는 것이 중요합니다. 대신 다양한 다운로드 웹사이트에서 발견되는 경우가 많으며, 해당 웹사이트의 버전에는 악성 코드가 자주 포함되어 있습니다. 이 앱은 관련된 보안 위험에도 불구하고 인도를 포함한 여러 국가에서 상당한 사용자 기반을 보유하고 있습니다.
그림 14와 그림 15는 연락처 목록과 디렉터리 목록의 유출을 보여줍니다.
네트워크 인프라
가상 침입자 사용 남자 C&C 서버로; 이 서비스는 개발자가 로컬 개발 서버를 인터넷에 노출할 수 있게 해주는 크로스 플랫폼 애플리케이션입니다. ngrok은 ngrok 서버를 사용하여 로컬 시스템에 연결하는 터널을 만들 수 있습니다. ngrok은 사용자(이 경우 공격자는)에게 다음을 허용합니다. 특정 IP 주소 예약 또는 피해자를 특정 포트의 공격자 자신의 도메인으로 리디렉션합니다.
결론
우리는 Virtual Invaders 위협 행위자가 운영하는 eXotic Visit 캠페인에 대해 설명했습니다. 이 캠페인은 적어도 2021년 말부터 활동해 왔습니다. 수년에 걸쳐 캠페인이 발전해 왔습니다. 전용 웹사이트에서 배포가 시작된 후 공식 Google Play 스토어까지 이전되었습니다.
오픈소스 Android RAT인 XploitSPY의 맞춤형 버전으로 사용된 악성코드를 확인했습니다. 합법적인 앱 기능과 함께 번들로 제공되며 대부분 가짜이지만 제대로 작동하는 메시징 애플리케이션입니다. 캠페인은 난독화, 에뮬레이터 탐지, C&C 주소 숨기기 등을 포함하도록 수년에 걸쳐 발전해 왔습니다. 이 캠페인의 목적은 간첩이며 아마도 파키스탄과 인도의 피해자를 표적으로 삼는 것일 수 있습니다.
WeLiveSecurity에 게시된 연구에 대한 문의 사항은 다음으로 문의하십시오. Threatintel@eset.com.
ESET Research는 비공개 APT 인텔리전스 보고서 및 데이터 피드를 제공합니다. 본 서비스에 대한 문의사항은 ESET 위협 인텔리전스 페이지.
IoC
파일
SHA-1 |
파일 이름 |
ESET 탐지 이름 |
상품 설명 |
C9AE3CD4C3742CC3353A |
알파챗.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
89109BCC3EC5B8EC1DC9 |
com.appsspot.defcom.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
BB28CE23B3387DE43EFB |
com.egoosoft.siminfo-4-apksos.com.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
7282AED684FB1706F026 |
com.infinitetech.dinkmessenger_v1_3.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
B58C18DB32B72E6C0054 |
com.infinitetechnology.telcodb.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
A17F77C0F98613BF349B |
dinkmessenger.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
991E820274AA02024D45 |
ChitChat.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
7C7896613EB6B54B9E9A |
ichat.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
17FCEE9A54AD174AF971 |
내앨범.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
3F0D58A6BA8C0518C8DF |
PersonalMessenger.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
A7AB289B61353B632227 |
PhotoCollageGridAndPicMaker.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
FA6624F80BE92406A397 |
Pics.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
4B8D6B33F3704BDA0E69 |
PrivateChat.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
706E4E701A9A2D42EF35 |
Shah_jee_Foods__com.electron.secureapp.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
A92E3601328CD9AF3A69 |
SimInfo.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
6B71D58F8247FFE71AC4 |
전문가병원.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
9A92224A0BEF9EFED027 |
Spotify_Music_and_Podcasts.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
7D50486C150E9E4308D7 |
TalkUChat.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
50B896E999FA96B5AEBD |
Themes_for_Android.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
0D9F42CE346090F7957C |
위톡.apk |
안드로이드/Spy.XploitSPY.A |
XploitSPY 악성 코드. |
네트워크
IP |
도메인 |
호스팅 제공업체 |
처음 본 |
세부 정보 |
3.13.191[.]225 |
phpdownload.ngrok[.]io |
Amazon.com, Inc. |
2022-11-14 |
씨앤씨 서버. |
3.22.30[.]40 |
chitchat.ngrok[.]io wetalk.ngrok[.]io |
Amazon.com, Inc. |
2022-01-12 |
유통 웹사이트. |
3.131.123[.]134 |
3.tcp.ngrok[.]io |
아마존 테크놀로지스 |
2020-11-18 |
씨앤씨 서버. |
3.141.160[.]179 |
zee.xylonn[.]com |
Amazon.com, Inc. |
2023-07-29 |
씨앤씨 서버. |
195.133.18[.]26 |
레치챗[.]정보 |
서버리온 LLC |
2022-01-27 |
유통사이트. |
MITRE ATT&CK 기술
이 테이블은 다음을 사용하여 제작되었습니다. 버전 14 MITRE ATT&CK 프레임워크.
술책 |
ID |
성함 |
상품 설명 |
고집 |
이벤트 트리거 실행: 브로드캐스트 수신기 |
XploitSPY는 다음을 수신하기 위해 등록합니다. 부팅_완료됨 장치 시작 시 활성화할 브로드캐스트 의도입니다. |
|
방어 회피 |
네이티브 API |
XploitSPY는 기본 라이브러리를 사용하여 C&C 서버를 숨깁니다. |
|
가상화/샌드박스 회피: 시스템 검사 |
XploitSPY는 에뮬레이터에서 실행 중인지 감지하고 이에 따라 동작을 조정할 수 있습니다. |
||
발견 |
소프트웨어 검색 |
XploitSPY는 설치된 응용 프로그램 목록을 얻을 수 있습니다. |
|
파일 및 디렉토리 검색 |
XploitSPY는 외부 저장소의 파일과 디렉터리를 나열할 수 있습니다. |
||
시스템 정보 검색 |
XploitSPY는 장치 모델, 장치 ID 및 일반 시스템 정보를 포함하여 장치에 대한 정보를 추출할 수 있습니다. |
||
수집 |
로컬 시스템의 데이터 |
XploitSPY는 장치에서 파일을 추출할 수 있습니다. |
|
액세스 알림 |
XploitSPY는 다양한 앱에서 메시지를 수집할 수 있습니다. |
||
오디오 캡처 |
XploitSPY는 마이크에서 오디오를 녹음할 수 있습니다. |
||
클립보드 데이터 |
XploitSPY는 클립보드 내용을 얻을 수 있습니다. |
||
위치 추적 |
XploitSPY는 장치 위치를 추적합니다. |
||
보호된 사용자 데이터: 통화 기록 |
XploitSPY는 통화 기록을 추출할 수 있습니다. |
||
보호된 사용자 데이터: 연락처 목록 |
XploitSPY는 장치의 연락처 목록을 추출할 수 있습니다. |
||
보호된 사용자 데이터: SMS 메시지 |
XploitSPY는 SMS 메시지를 추출할 수 있습니다. |
||
명령 및 제어 |
애플리케이션 계층 프로토콜: 웹 프로토콜 |
XploitSPY는 HTTPS를 사용하여 C&C 서버와 통신합니다. |
|
비표준 포트 |
XploitSPY는 포트를 통한 HTTPS 요청을 사용하여 C&C 서버와 통신합니다. 21,572, 28,213및 21,656. |
||
여과 |
C2 채널을 통한 유출 |
XploitSPY는 HTTPS를 사용하여 데이터를 추출합니다. |
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/en/eset-research/exotic-visit-campaign-tracing-footprints-virtual-invaders/
- :있다
- :이다
- :아니
- :어디
- 1
- 1.3
- 10
- 11
- 114
- 12
- 13
- 14
- 15%
- 170
- 179
- 2021
- 2022
- 2023
- 22
- 26%
- 28
- 30
- 40
- 7
- 8
- 9
- a
- 할 수 있는
- 소개
- 위의
- ACCESS
- 액세스
- 따라서
- 계정
- 계정
- 가로질러
- 행위
- 활성화
- 활동적인
- 방과 후 액티비티
- 활동
- 배우
- 실제
- 추가
- 첨가
- 추가
- 주소
- 구애
- 맞추다
- 관리자
- 후
- 목표
- 경보
- All
- 동맹
- 수
- 알파
- 이미
- 또한
- 대안
- 이기는하지만
- an
- 분석
- 분석하다
- 분석
- 및
- 기계적 인조 인간
- 다른
- 어떤
- 더 이상
- 누군가
- 앱
- 앱 개발
- 앱 스토어
- 외관
- 등장
- 등장하다
- 어플리케이션
- 어플리케이션
- 적용하다
- 접근
- 앱
- APT
- 아카이브
- 있군요
- 논의
- 약
- AS
- 아시아
- 조립
- 평가하다
- 관련
- At
- 시도
- 시도
- 오디오
- 8월
- 저자
- 자동화
- 가능
- 인식
- 미끼
- 기지
- 기반으로
- BE
- 되었다
- 때문에
- 된
- 전에
- 행동
- 뒤에
- 존재
- 믿으세요
- 이하
- 사이에
- 두
- 넓은
- 방송
- 내장
- 번들
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- C + +
- 전화
- 라는
- 부름
- 온
- 카메라
- 운동
- CAN
- 수
- 면밀히
- 케이스
- 가지 경우
- 어떤
- 증명서
- 잡담
- 검사
- 확인하는 것이 좋다.
- 중국말
- 주장
- 수업
- 암호
- 수집
- COM
- 명령
- 본문
- 공통의
- 소통
- 비교
- 비교
- 손상된
- 숨기다
- 자신
- 연결
- 커넥트
- CONTACT
- 콘택트 렌즈
- 포함하는
- 포함
- 이 포함되어 있습니다
- 내용
- 지속
- 제어
- 수
- 계산
- 국가
- 적용
- 만들
- 만든
- 관습
- 사용자 정의
- 데이터
- 날짜
- 일
- XNUMX월
- 12월 2021
- 전용
- 방위산업
- 설명
- 기술 된
- 기술하다
- 무례
- 세부설명
- 검색
- 탐지 된
- Detection System
- 개발
- 개발자
- 개발자
- 개발
- 장치
- DID
- 다르다
- 다른
- 디렉토리
- 예배 규칙서
- 발견
- 디스플레이
- 특유의
- 분산
- 배포
- 분포
- 하지
- 도메인
- 말라
- 아래 (down)
- 다운로드
- 다운로드
- 다운로드
- 다운로드
- 두
- ...동안
- 동적
- 마다
- 이전
- 노력
- 정교한
- 수
- 인코딩
- end
- 상승
- 충분히
- ESET 연구
- 스파이 활동
- 회피
- 조차
- EVER
- 증거
- 진화
- 외
- 실행
- 실행
- 압출
- 이국적인
- extended
- 외부
- 추출물
- 모조품
- FB
- 특색
- 특징
- Feb
- 그림
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- Find
- 결과
- 중포 기지
- 먼저,
- 다섯
- 집중
- 수행원
- 다음
- 식품
- 음식
- 럭셔리
- 발견
- 사
- 자주
- 에
- 기능
- 기능의
- 기능성
- 기능
- 작동
- 기능
- 미래
- 획득
- 얻을
- GitHub의
- 구글
- 구글 플레이
- 구글 Play 스토어
- GPS를
- 그리드
- 그룹
- 했다
- 열심히
- 해로운
- 해시
- 있다
- 숨겨진
- 숨는 장소
- 숨어
- 높은
- 최고
- 병원
- 호스팅
- 호스트
- 방법
- 그러나
- HTTPS
- ID
- 확인
- 확인
- 식별
- if
- 설명하다
- 영상
- 이행
- 구현
- 중대한
- 개선
- in
- 포함
- 포함
- 포함
- 포함
- 인도
- 표시
- 표시
- 무한의
- 정보
- 정보
- 처음에는
- 문의
- 불안 정한
- 영감
- 설치
- 설치
- 설치
- 를 받아야 하는 미국 여행자
- 통합 된
- 통합
- 인텔리전스
- 의지
- 관심
- 인터페이스
- 내부로
- 인터넷
- 으로
- IP
- IT
- 그
- 일월
- 자바
- JPEG
- 7월
- 유월
- 다만
- 유지
- 알려진
- 언어
- 성
- 늦은
- 후에
- 최근
- 층
- 가장 작은
- 왼쪽 (left)
- 합법적 인
- 레벨
- 도서관
- 도서관
- 처럼
- 아마도
- LINK
- 연결
- 명부
- 상장 된
- 리스팅
- 기울기
- 지방의
- 위치
- 로그인
- 이상
- 낮은
- 기계
- 만든
- 본관
- 주로
- 확인
- 메이커
- 유튜브 영상을 만드는 것은
- 악의있는
- 악성 코드
- XNUMX월..
- 방법
- 회원
- 언급
- 말하는
- 메시지
- 메시지
- 메시징 앱
- 전령
- 방법
- 방법
- 마이크로폰
- 수도
- 완화
- 모바일
- 모델
- 수정
- 배우기
- 또한
- 가장
- 대개
- 움직이는
- 여러
- 음악
- name
- 이름
- 이름
- 출신
- 자연
- 필요한
- 네트워크
- 신제품
- 새로운
- 아니
- 주의
- 공고
- 알림
- 십일월
- 2021년 XNUMX월
- 지금
- 번호
- 숫자
- 획득
- of
- 제공
- 제공
- 공무원
- 자주
- on
- ONE
- 온라인
- 만
- ~에
- 오픈 소스
- 운영
- 조작
- or
- 기타
- 기타
- 그렇지 않으면
- 우리의
- 위에
- 자신의
- 소유자
- 소유자
- 소유하다
- 꾸러미
- 페이지
- 파키스탄
- 파키스탄 어
- 패널
- 부품
- 특별한
- 파트너
- 통로
- 경로
- 수행
- 성능
- 실행할 수 있는
- 혹시
- 권한
- 전화
- 영화
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 연극
- 플레이
- Play 스토어
- 부디
- 팟 캐스트
- 전철기
- 인기 문서
- 포즈
- 포즈
- 가능성
- 잠재적으로
- 제시
- 예방
- 방지
- 너무 이른
- 이전에
- 주로
- 사설
- 아마
- 프로그램
- 프로젝트
- 약속 한
- 프롬프트
- 프로토콜
- 제공
- 제공
- 출판
- 목적
- 목적
- 밀
- 빨리
- 아주
- 쥐
- 차라리
- RE
- 도달
- 현실
- 받다
- 접수
- 기록
- 리디렉션
- 지방
- 등록된
- 레지스터들
- 관련
- 상대적으로
- 먼
- 제거
- 제거됨
- 대체
- 신고
- 보고서
- 대표되는
- 요청
- 연구
- 연구원
- 각기
- 결과
- return
- 공개
- 수수께끼
- 연락해주세요
- 위험
- 달리는
- 런타임
- 같은
- 견본
- 모래 상자
- 라고
- 검색
- 섹션
- 섹션
- 보안
- 보안 위험
- 참조
- 것
- 본
- 고르다
- 민감한
- 섬기는 사람
- 서버
- 서비스
- 서비스
- 일곱
- 몇몇의
- 공유
- 영상을
- 표시
- 표시
- 쇼
- 신호
- 서명
- YES
- 동시에
- 이후
- SIX
- 크기
- SMS
- So
- 일부
- 정교한
- 지우면 좋을거같음 . SM
- 남쪽
- 전문가
- 구체적인
- 구체적으로
- 지정
- 스타트
- 시작
- 시작 중
- 시작
- 정적 인
- 아직도
- 중지
- 저장
- 저장
- 저장
- 전략
- 끈
- 강하게
- 그후
- 실질적인
- 성공한
- 성공적으로
- 이러한
- 주변
- 체계
- 테이블
- 촬영
- 목표
- 대상
- 대상
- 목표
- 테크니컬
- 기술 분석
- 기술
- 기술
- 통신
- 텔레그램
- 이야기
- 안색
- 수십
- test
- 본문
- 보다
- 그
- XNUMXD덴탈의
- 미래
- 그들의
- 그들
- 그때
- 그곳에.
- Bowman의
- 그들
- 생각
- 이
- 그
- 위협
- 위협 행위자
- 세
- 을 통하여
- 도처에
- 시간
- 타임 라인
- 시대
- Title
- 에
- 검색을
- 상단
- 트레이싱
- 선로
- 추적
- 트랙
- 비결
- 시도
- 방아쇠를 당긴
- 터널
- 우크라이나
- 할 수 없는
- 아래에
- 유일한
- 까지
- 업데이트
- 업데이트
- 업로드
- us
- 사용
- 익숙한
- 사용자
- 시간을 아껴주는 인터페이스
- 사용자
- 사용
- 사용
- 이용하다
- 검증 된
- 가치
- 여러
- 확인
- 버전
- 버전
- 대단히
- 를 통해
- 희생자
- 피해자
- 온라인
- 가시성
- 방문
- 였다
- we
- 웹
- 웹 사이트
- 웹 사이트
- 잘
- 했다
- WhatsApp에
- 언제
- 이므로
- 여부
- 어느
- 동안
- 누구
- Wi-Fi 접속 설비
- 크게
- 폭
- 과
- 없이
- 겠지
- 쓰기
- 쓴
- 년
- 아직
- 항복
- 제퍼 넷
- 제로