Os pesquisadores da ESET descobriram uma campanha ativa de espionagem direcionada a usuários do Android com aplicativos que se apresentam principalmente como serviços de mensagens. Embora esses aplicativos ofereçam serviços funcionais como isca, eles vêm com malware XploitSPY de código aberto. Chamamos esta campanha de eXotic Visit e rastreamos suas atividades desde novembro de 2021 até o final de 2023. A campanha direcionada tem distribuído aplicativos Android maliciosos por meio de sites dedicados e, por algum tempo, também por meio da Google Play Store. Devido à natureza direcionada da campanha, os aplicativos disponíveis no Google Play tiveram um baixo número de instalações; todos eles foram removidos da loja. A campanha eXotic Visit parece ter como alvo principal um grupo seleto de usuários do Android no Paquistão e na Índia. Não há indicação de que esta campanha esteja ligada a algum grupo conhecido; no entanto, estamos rastreando os atores da ameaça por trás disso sob o apelido de Virtual Invaders.
Pontos principais do relatório:
- Esta campanha ativa e direcionada de espionagem Android, que chamamos de eXotic Visit, começou no final de 2021 e se faz passar principalmente por aplicativos de mensagens distribuídos por meio de sites dedicados e do Google Play.
- No geral, no momento em que este artigo foi escrito, cerca de 380 vítimas baixaram os aplicativos de ambas as fontes e criaram contas para usar a funcionalidade de mensagens. Devido à natureza direcionada da campanha, o número de instalações de cada aplicativo do Google Play é relativamente baixo – entre zero e 45.
- Os aplicativos baixados fornecem funcionalidades legítimas, mas também incluem código do Android RAT XploitSPY de código aberto. Vinculamos as amostras por meio do uso do mesmo C&C, atualizações de código malicioso exclusivas e personalizadas e do mesmo painel de administração C&C.
- Ao longo dos anos, esses agentes de ameaças personalizaram seus códigos maliciosos adicionando ofuscação, detecção de emulador, ocultação de endereços C&C e uso de uma biblioteca nativa.
- A região de interesse parece ser o Sul da Ásia; em particular, as vítimas no Paquistão e na Índia foram visadas.
- Atualmente, a ESET Research não possui evidências suficientes para atribuir esta atividade a qualquer grupo de ameaça conhecido; rastreamos o grupo internamente como Invasores Virtuais.
Os aplicativos que contêm o XploitSPY podem extrair listas de contatos e arquivos, obter a localização GPS do dispositivo e os nomes dos arquivos listados em diretórios específicos relacionados à câmera, downloads e vários aplicativos de mensagens, como Telegram e WhatsApp. Se determinados nomes de arquivos forem identificados como de interesse, eles poderão ser posteriormente extraídos desses diretórios por meio de um comando adicional do servidor de comando e controle (C&C). Curiosamente, a implementação da funcionalidade de chat integrada ao XploitSPY é única; acreditamos fortemente que esta função de chat foi desenvolvida pelo grupo Virtual Invaders.
O malware também usa uma biblioteca nativa, que é frequentemente usada no desenvolvimento de aplicativos Android para melhorar o desempenho e acessar recursos do sistema. Porém, neste caso, a biblioteca é utilizada para ocultar informações confidenciais, como os endereços dos servidores C&C, dificultando a análise do aplicativo pelas ferramentas de segurança.
Os aplicativos descritos nas seções abaixo foram retirados do Google Play; além disso, como um Aliança de defesa de aplicativos do Google parceiro, a ESET identificou dez aplicativos adicionais que contêm código baseado no XploitSPY e compartilhou suas descobertas com o Google. Seguindo nosso alerta, os apps foram removidos da loja. Cada um dos aplicativos descritos abaixo teve um baixo número de instalações, sugerindo uma abordagem direcionada em vez de uma estratégia ampla. A seção Linha do tempo dos aplicativos eXotic Visit abaixo descreve os aplicativos “falsos”, embora funcionais, que identificamos como parte desta campanha, enquanto a seção de análise técnica se concentra nos detalhes do código XploitSPY, presente em várias encarnações nesses aplicativos.
Linha do tempo dos aplicativos eXotic Visit
Começando cronologicamente, em 12 de janeiroth, 2022, MalwareHunterTeam compartilhou um Tweet com um hash e um link para um site que distribui um aplicativo chamado WeTalk, que imita o popular aplicativo chinês WeChat. O site forneceu um link para um projeto GitHub para baixar um aplicativo Android malicioso. Com base na data disponível no GitHub, o wetalk.apk o aplicativo foi carregado em dezembro de 2021.
Naquela época, havia cinco aplicativos disponíveis, usando os nomes ChitChat.apk, Aprenda Sindi.apk, SafeChat.apk, wechat.apk e wetalk.apk. O aplicativo ChitChat estava disponível no GitHub desde novembro de 2021, distribuído por meio de um site dedicado (bate-papo.ngrok[.]io; veja a Figura 1), bem como os maliciosos Nós falamos aplicativo mencionado anteriormente. Ambos usam o mesmo endereço C&C com a interface de login do painel de administração mostrada na Figura 2.
Desde julho de 2023, a mesma conta GitHub hospedou novos aplicativos Android maliciosos que possuem o mesmo código malicioso e servidor C&C. Não temos informações sobre como esses aplicativos são distribuídos. Os aplicativos são armazenados em cinco repositórios, usando nomes como ichat.apk, MeusÁlbuns.apk, PersonalMessenger.apk, Grade de colagem de fotos e criador de fotos.apk, Fotos.apk, PrivateChat.apk, SimInfo.apk, Hospital Especializado.apk, Spotify_ Música e Podcasts.apk, TalkUChat.apk e Temas para Android.apk.
Retornando a ChitChat.apk e wetalk.apk: ambos os aplicativos contêm a funcionalidade de mensagens prometida, mas também incluem código malicioso que identificamos como código aberto ExplorarSPY disponível no GitHub. O XploitSPY é baseado em outro RAT Android de código aberto chamado L3MON; no entanto, foi removido do GitHub pelo seu autor. L3MON foi inspirado em outro RAT Android de código aberto chamado AhMito, com funcionalidade estendida (cobrimos outro RAT Android derivado do AhMyth neste Postagem no blog WeLiveSecurity).
Espionagem e controle remoto do dispositivo alvo são os principais objetivos do aplicativo. Seu código malicioso é capaz de:
- listando arquivos no dispositivo,
- enviando mensagens SMS,
- obter registros de chamadas, contatos, mensagens de texto e uma lista de aplicativos instalados,
- obter uma lista de redes Wi-Fi próximas, localização do dispositivo e contas de usuário,
- tirar fotos usando a câmera,
- gravar áudio do ambiente do dispositivo e
- interceptar notificações recebidas para WhatsApp, Signal e qualquer outra notificação que contenha a string novas mensagens.
A última função pode ser uma tentativa preguiçosa de interceptar mensagens recebidas de qualquer aplicativo de mensagens.
O mesmo endereço C&C usado pelos aplicativos mencionados anteriormente (wechat.apk e ChitChat.apk) também é usado pelo Dink Messenger. Baseado em VirusTotal's URLs in-the-wild, este exemplo estava disponível para download em letchitchat[.]info em 24 de fevereiroth, 2022. Esse domínio foi registrado em 28 de janeiroth, 2022. Além da funcionalidade de mensagens, os invasores adicionaram código malicioso baseado no XploitSPY.
No dia 8 de novembroth, 2022, Equipe MalwareHunter twittou um hash do Android malicioso alphachat.apk aplicativo com seu download do site. O aplicativo estava disponível para download no mesmo domínio do aplicativo Dink Messenger (letchitchat[.]informações). O aplicativo Alpha Chat usa o mesmo servidor C&C e página de login do painel de administração C&C como na Figura 2, mas em uma porta diferente; o aplicativo também contém o mesmo código malicioso. Não temos informações sobre quando o Dink Messenger esteve disponível no domínio; posteriormente, foi substituído pelo Alpha Chat.
O aplicativo Alpha Chat trojanizado, em comparação com versões anteriores do XploitSPY da campanha eXotic Visit, contém uma atualização de código malicioso que inclui detecção de emulador. Se este aplicativo detectar que está sendo executado em um emulador, ele usará um endereço C&C falso em vez de revelar o endereço real, como mostrado na Figura 3. Isso provavelmente deve impedir que sandboxes de malware automatizados, durante a execução de análises dinâmicas, identifiquem o endereço real. Servidor C&C.
Alpha Chat também usa um endereço C&C adicional para exfiltrar arquivos que não sejam de imagem com tamanho superior a 2 MB. Outros arquivos são exfiltrados por meio de um soquete da web para o servidor C&C.
Trata-se de uma conexão entre os aplicativos Dink Messenger e Alpha Chat: ambos foram distribuídos no mesmo site dedicado. No entanto, o Dink Messenger também foi cuidadosamente distribuído pela Google Play Store: a versão 1.0 do Dink Messenger apareceu no Google Play em 8 de fevereiro.th, 2022, mas sem nenhuma funcionalidade maliciosa incluída. Este pode ter sido um teste do agente da ameaça para ver se o aplicativo seria validado e carregado com sucesso na loja. Em 24 de maiothEm 2022, foi carregada a versão 1.2, ainda sem funcionalidades maliciosas. Naquela época, o aplicativo foi instalado mais de 15 vezes. Em 10 de junhoth, 2022, a versão 1.3 foi carregada no Google Play. Esta versão continha código malicioso, conforme mostrado na Figura 4.
Posteriormente, mais três versões foram carregadas no Google Play com o mesmo código malicioso; a última, versão 1.6, foi carregada em 15 de dezembroth, 2022. Ao todo, essas seis versões têm mais de 40 instalações. Não temos informações de quando o aplicativo foi removido da loja. Todas as versões do aplicativo com e sem código malicioso foram assinadas pelo mesmo certificado de desenvolvedor, o que significa que foram criadas e enviadas ao Google Play pelo mesmo desenvolvedor malicioso.
Também é importante mencionar que o aplicativo Dink Messenger disponível em letchitchat[.]informações usava o mesmo servidor C&C do aplicativo Dink Messenger no Google Play e poderia executar ações maliciosas estendidas; entretanto, a interface do usuário de cada um era diferente (veja a Figura 5). O Dink Messenger no Google Play implementou verificações de emulador (assim como o Alpha Chat), enquanto o do site dedicado não.
Em agosto 15th, 2022, o aplicativo Telco DB (com o nome do pacote com.infinitetechnology.telcodb), que afirma fornecer informações sobre os proprietários dos números de telefone, foi carregado em uma loja de aplicativos alternativa; veja a Figura 6. Este aplicativo tem o mesmo código malicioso, uma verificação de emulador recém-adicionada com redirecionamento de endereço C&C falso e um servidor C&C adicional para exfiltração de arquivos. O endereço C&C não é codificado, como nos casos anteriores; em vez disso, ele é retornado de um servidor Firebase. Acreditamos que este seja mais um truque para ocultar o servidor C&C real, e talvez até atualizá-lo no futuro. Com alto nível de confiança avaliamos que este aplicativo faz parte da campanha eXotic Visit.
Quatro dias depois, em 19 de agostothEm 2022, o aplicativo Sim Info foi carregado no Google Play como parte da campanha. Ele também afirma fornecer ao usuário informações sobre quem possui um número de telefone.
O código malicioso se comunica com o mesmo servidor C&C das amostras anteriores e é o mesmo, exceto que os agentes da ameaça incluíram uma biblioteca nativa. Elaboramos mais sobre esta biblioteca nativa na seção Conjunto de ferramentas. Sim Info atingiu mais de 30 mil instalações no Google Play; não temos informações sobre quando ele foi retirado da loja.
No dia 21 de junhostEm 2023, o aplicativo malicioso Defcom foi carregado no Google Play; veja a Figura 7.
Defcom é um aplicativo de mensagens trojanizado que faz parte da campanha eXotic Visit, usando o mesmo código malicioso e biblioteca nativa para recuperar seu servidor C&C. Ele usa um novo servidor C&C, mas com a mesma interface de login do painel de administração mostrada na Figura 2. Este domínio C&C (zee.xylonn[.]com) foi registrado em 2 de junhond 2023.
Antes de o aplicativo ser removido, em junho de 2023, ele atingiu cerca de seis instalações no Google Play.
Na Figura 8, ilustramos um cronograma de quando todos os aplicativos foram disponibilizados pela primeira vez para download como parte da campanha.
Além dos aplicativos maliciosos já mencionados que fazem parte da campanha, conseguimos identificar aplicativos adicionais que foram enviados para o Google Play e outros onde foi feita uma tentativa de upload, mas não podemos dizer se os uploads foram bem-sucedidos. Embora os tenhamos identificado com base nos mesmos nomes de detecção, não conseguimos obter as amostras para analisá-los e verificar se fazem parte da mesma campanha. Em qualquer caso, eles contêm código malicioso baseado no XploitSPY. A Tabela 1 lista os aplicativos XploitSPY que estavam disponíveis no Google Play. Cada um desses aplicativos teve um baixo número de instalações. Um número substancial de aplicativos disponíveis no Google Play não teve nenhuma instalação, com alguns rendendo menos de 10 instalações. A maior contagem de instalações da Play Store ficou abaixo de 45.
Tabela 1. Mais aplicativos contendo XploitSPY que estavam disponíveis no Google Play
Nome do aplicativo |
Nome do pacote |
Data de upload para o Google Play |
Bate-papo Zaangi |
com.infinite.zaangichat |
Julho de 22nd, 2022 |
Mensageiro de vime |
com.reelsmart.wickermessenger |
Agosto de 25th, 2022 |
Rastreador de despesas |
com.solecreative.expensemanager |
Novembro de 4th, 2022 |
A Tabela 2 lista os aplicativos maliciosos que os desenvolvedores tentaram enviar no Google Play; no entanto, não temos informações sobre se eles foram ou não disponibilizados no Google Play.
Tabela 2. Aplicativos contendo XploitSPY que foram carregados no Google Play
Nome do aplicativo |
Nome do pacote |
Data de upload para o Google Play |
Sinal Lite |
com.techexpert.signallite |
Dezembro 1st, 2021 |
Banco de dados de telecomunicações |
com.infinitetech.telcodb |
Julho de 25th, 2022 |
Banco de dados de telecomunicações |
com.infinitetechnology.telcodb |
Julho de 29th, 2022 |
Bate-papo telefônico |
com.techsight.telechat |
Novembro de 8th, 2022 |
Acompanhar orçamento |
com.solecreative.trackbudget |
Dezembro 30th, 2022 |
SnapMe |
com.zcoders.snapme |
Dezembro 30th, 2022 |
talkU |
com.takewis.talkuchat |
Fevereiro de 14th, 2023 |
A ESET é membro da App Defense Alliance e parceira ativa no programa de mitigação de malware, que visa encontrar rapidamente Aplicativos Potencialmente Nocivos (PHAs) e impedi-los antes que cheguem ao Google Play.
Como parceira da Google App Defense Alliance, a ESET identificou todos os aplicativos mencionados como maliciosos e compartilhou suas descobertas com o Google, que posteriormente os cancelou. Todos os aplicativos identificados no relatório que estavam no Google Play não estão mais disponíveis na Play Store.
Vitimologia
Nossa pesquisa indica que aplicativos maliciosos desenvolvidos pela eXotic Visit foram distribuídos através do Google Play e de sites dedicados, e quatro desses aplicativos visavam principalmente usuários no Paquistão e na Índia. Detectamos um desses quatro aplicativos, Sim Info, em um dispositivo Android na Ucrânia, mas não acreditamos que a Ucrânia esteja sendo alvo específico, pois o aplicativo estava disponível no Google Play para download por qualquer pessoa. Com base em nossos dados, cada um dos aplicativos maliciosos disponíveis no Google Play foi baixado dezenas de vezes; no entanto, não temos visibilidade dos detalhes do download.
Identificamos alvos potenciais para quatro desses aplicativos: Sim Info, Telco DB (com.infinitetechnology.telcodb), Shah jee Foods e Hospital Especializado.
Os aplicativos Sim Info e Telco DB fornecem aos usuários a funcionalidade de pesquisar informações do proprietário do SIM para qualquer número de celular do Paquistão, usando o serviço online dbcenteruk. com; veja a Figura 9.
No dia 8 julhoth, 2022, um aplicativo chamado Shah jee Foods foi carregado em VirusTotal do Paquistão. Este aplicativo faz parte da campanha. Após a inicialização, ele exibe um site de pedidos de comida para a região do Paquistão, foodpanda.pk.
O aplicativo Specialist Hospital, disponível no GitHub, se apresenta como o aplicativo para Hospital Especializado na Índia (hospitalespecialista.in); veja a Figura 10. Após iniciar, o aplicativo solicita as permissões necessárias para realizar suas atividades maliciosas e, em seguida, solicita ao usuário que instale o aplicativo legítimo de Google Play.
Conseguimos encontrar mais de 380 contas comprometidas criadas em alguns desses aplicativos; no entanto, não conseguimos recuperar sua geolocalização. Como o mesmo código inseguro foi encontrado em dez aplicativos, podemos dizer com alto nível de confiança que eles foram desenvolvidos pelo mesmo autor da ameaça.
Estratégias de Atribuição
Acompanhamos esta operação, ativa desde o final de 2021, como eXotic Visit, mas com base na pesquisa da ESET e de outros, não podemos atribuir esta campanha a nenhum grupo conhecido. Como resultado, rotulamos internamente o grupo por trás desta operação como Invasores Virtuais.
O XploitSPY está amplamente disponível e versões personalizadas têm sido usadas por vários atores de ameaças, como o tribo transparente Grupo APT, conforme documentado por Meta. No entanto, as modificações encontradas nos aplicativos que descrevemos como parte da campanha eXotic Visit são distintas e diferem daquelas em variantes previamente documentadas do malware XploitSPY.
Análise técnica
Acesso inicial
O acesso inicial ao dispositivo é obtido enganando uma vítima em potencial para que instale um aplicativo falso, mas funcional. Conforme descrito na seção Linha do tempo dos aplicativos eXotic Visit, os aplicativos maliciosos ChitChat e WeTalk foram distribuídos por meio de sites dedicados (bate-papo.ngrok[.]io e wetalk.ngrok[.]io, respectivamente) e hospedado no GitHub (https://github[.]com/Sojal87/).
Naquela época, mais três aplicativos – Aprenda Sindi.apk, SafeChat.apk e wechat.apk – estavam disponíveis na mesma conta GitHub; não temos conhecimento de seu vetor de distribuição. Em julho de 2023, esses aplicativos não estavam mais disponíveis para download em seus repositórios GitHub. No entanto, a mesma conta GitHub agora hospeda vários novos aplicativos maliciosos disponíveis para download. Todos esses novos aplicativos também fazem parte da campanha maliciosa de espionagem eXotic Visit, por conterem também variantes do mesmo código XploitSPY.
Os aplicativos Dink Messenger e Alpha Chat foram hospedados em um site dedicado (letchitchat[.]informações), a partir do qual as vítimas foram incentivadas a baixar e instalar o aplicativo.
Os aplicativos Dink Messenger, Sim Info e Defcom estavam disponíveis no Google Play até serem removidos pelo Google.
Toolset
Todos os aplicativos analisados contêm personalizações do código do aplicativo malicioso XploitSPY disponível em GitHub. Desde a primeira versão encontrada em 2021 até a versão mais recente, distribuída pela primeira vez em julho de 2023, temos visto esforços contínuos de desenvolvimento. Invasores Virtuais incluiu:
- uso de um servidor C&C falso se um emulador for detectado,
- ofuscação de código,
- uma tentativa de ocultar os endereços C&C da análise estática, recuperando-os de seu servidor Firebase, e
- utilização de uma biblioteca nativa que mantém o servidor C&C e outras informações codificadas e ocultadas das ferramentas de análise estática.
O que se segue é a nossa análise do malware XploitSPY personalizado que, no aplicativo Defcom, estava disponível no Google Play.
Defcom integra o código XploitSPY com uma funcionalidade exclusiva de chat; acreditamos com alto nível de confiança que a funcionalidade de chat foi criada por Virtual Invaders. Isso se aplica a todos os outros aplicativos de mensagens que incluem o XploitSPY.
Após o início, o aplicativo solicita que os usuários criem uma conta e, simultaneamente, tenta obter detalhes de localização do dispositivo consultando api.ipgeolocation.io e encaminhando o resultado para um servidor Firebase. Este servidor também funciona como servidor do componente de mensagens. A interface do aplicativo é mostrada na Figura 11.
Defcom utiliza um biblioteca nativa, frequentemente usado no desenvolvimento de aplicativos Android para melhoria de desempenho e acesso a recursos do sistema. Escritas em C ou C++, essas bibliotecas podem ser usadas para ocultar funcionalidades maliciosas. A biblioteca nativa do Defcom é chamada defcome-lib.so.
defcome-lib.soO objetivo do é ocultar informações confidenciais, como servidores C&C, da análise estática de aplicativos. Os métodos implementados na biblioteca retornam uma string codificada em base64 que é então decodificada pelo código malicioso durante o tempo de execução. Esta técnica não é muito sofisticada, mas impede que ferramentas de análise estática extraiam servidores C&C. A Figura 12 mostra as declarações do método nativo no código Java, e a Figura 13 a implementação do getServerUrl método no código assembly. Observe que o comentário acima de cada declaração na Figura 12 é o valor de retorno decodificado ao chamar esse método.
Os comandos a serem executados no dispositivo comprometido são retornados do servidor C&C. Cada comando é representado por um valor de string. A lista dos comandos é:
- 0xCO – Obtenha lista de contatos.
- 0xDA – Exfiltrar arquivo do dispositivo. O caminho para o arquivo é recebido do servidor C&C.
- 0xFI – Lista os arquivos no diretório especificado pelo servidor. Com um argumento adicional, ele pode fazer upload de arquivos de um diretório especificado para o servidor C&C.
- 0xIP – Obtenha a geolocalização do dispositivo usando o ipgeolocalização.io serviço.
- 0xLO – Obtenha a localização GPS do dispositivo.
- 0xOF – Liste arquivos em sete diretórios específicos. Em quatro casos, os caminhos dos arquivos são codificados, em três casos apenas os nomes das pastas. Um argumento adicional especifica o diretório:
- 0xCA – Câmera
- 0xDW – Downloads
- 0xSS – /armazenamento/emulado/0/Imagens/Capturas de tela
- 0xTE – Telegrama
- 0xWB – /storage/emulated/0/Android/media/com.whatsapp.w4b/WhatsApp Business/Media
- 0xWG – /storage/emulated/0/Android/media/com.gbwhatsapp/GBWhatsApp/Media
- 0xWP – /storage/emulated/0/Android/media/com.whatsapp/WhatsApp/Media
Curiosamente, o GB WhatsApp é uma versão clonada não oficial do WhatsApp. Embora ofereça recursos adicionais que o tornaram bastante popular, é importante observar que não está disponível no Google Play. Em vez disso, é frequentemente encontrado em vários sites de download, onde suas versões são frequentemente repletas de malware. O aplicativo tem uma base de usuários substancial em vários países, incluindo a Índia, apesar dos riscos de segurança associados.
A Figura 14 e a Figura 15 mostram a exfiltração de uma lista de contatos e uma listagem de diretório.
Infraestrutura de rede
Uso de invasores virtuais grok como seu servidor C&C; o serviço é um aplicativo multiplataforma que permite aos desenvolvedores expor um servidor de desenvolvimento local à Internet. O ngrok pode criar um túnel que se conecta usando servidores ngrok a uma máquina local. O ngrok permite que seus usuários – ou seja, os invasores neste caso – reservar um endereço IP específico ou redirecione a vítima para o domínio do próprio invasor em uma porta específica.
Conclusão
Descrevemos a campanha eXotic Visit, operada pelo ator de ameaça Virtual Invaders, que está ativa pelo menos desde o final de 2021. Ao longo dos anos, a campanha evoluiu. A distribuição começou em sites dedicados e depois passou até para a loja oficial do Google Play.
Identificamos o código malicioso usado como uma versão personalizada do Android RAT de código aberto, XploitSPY. Ele vem com funcionalidades de aplicativos legítimos, na maioria das vezes sendo um aplicativo de mensagens falso, mas funcional. A campanha evoluiu ao longo dos anos para incluir ofuscação, detecção de emulador e ocultação de endereços C&C. O objetivo da campanha é a espionagem e provavelmente tem como alvo vítimas no Paquistão e na Índia.
Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em ameaçaintel@eset.com.
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.
IoCs
Arquivos
SHA-1 |
Nome do arquivo |
nome de detecção ESET |
Descrição |
C9AE3CD4C3742CC3353A |
alphachat.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
89109BCC3EC5B8EC1DC9 |
com.appsspot.defcom.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
BB28CE23B3387DE43EFB |
com.egoosoft.siminfo-4-apksos.com.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
7282AED684FB1706F026 |
com.infinitetech.dinkmessenger_v1_3.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
B58C18DB32B72E6C0054 |
com.infinitetechnology.telcodb.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
A17F77C0F98613BF349B |
dinkmessenger.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
991E820274AA02024D45 |
ChitChat.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
7C7896613EB6B54B9E9A |
ichat.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
17FCEE9A54AD174AF971 |
MeusÁlbuns.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
3F0D58A6BA8C0518C8DF |
PersonalMessenger.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
A7AB289B61353B632227 |
PhotoCollageGridAndPicMaker.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
FA6624F80BE92406A397 |
Fotos.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
4B8D6B33F3704BDA0E69 |
PrivateChat.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
706E4E701A9A2D42EF35 |
Shah_jee_Foods__com.electron.secureapp.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
A92E3601328CD9AF3A69 |
SimInfo.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
6B71D58F8247FFE71AC4 |
HospitalEspecialista.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
9A92224A0BEF9EFED027 |
Spotify_Music_and_Podcasts.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
7D50486C150E9E4308D7 |
TalkUChat.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
50B896E999FA96B5AEBD |
Temas_para_Android.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
0D9F42CE346090F7957C |
wetalk.apk |
Android/Espião.XploitSPY.A |
Malware XploitSPY. |
Network
IP |
Domínio |
Provedor de hospedagem |
Visto pela primeira vez |
Adicionar ao carrinho |
3.13.191[.]225 |
phpdownload.ngrok[.]io |
Amazon.com, Inc. |
2022-11-14 |
Servidor C&C. |
3.22.30[.]40 |
bate-papo.ngrok[.]io wetalk.ngrok[.]io |
Amazon.com, Inc. |
2022-01-12 |
Sites de distribuição. |
3.131.123[.]134 |
3.tcp.ngrok[.]io |
Amazon Technologies Inc. |
2020-11-18 |
Servidor C&C. |
3.141.160[.]179 |
zee.xylonn[.]com |
Amazon.com, Inc. |
2023-07-29 |
Servidor C&C. |
195.133.18[.]26 |
letchitchat[.]informações |
Serverion LLC |
2022-01-27 |
Site de distribuição. |
Técnicas MITER ATT e CK
Esta tabela foi construída usando versão 14 da estrutura MITRE ATT&CK.
Tática |
ID |
Nome |
Descrição |
Persistência |
Execução acionada por evento: Receptores de transmissão |
O XploitSPY se registra para receber o BOOT_COMPLETED intenção de transmissão para ativar na inicialização do dispositivo. |
|
Evasão de defesa |
API nativa |
O XploitSPY usa uma biblioteca nativa para ocultar seus servidores C&C. |
|
Evasão de virtualização/sandbox: verificações do sistema |
O XploitSPY pode detectar se está sendo executado em um emulador e ajustar seu comportamento de acordo. |
||
Discovery |
Descoberta de software |
O XploitSPY pode obter uma lista de aplicativos instalados. |
|
Descoberta de arquivos e diretórios |
O XploitSPY pode listar arquivos e diretórios em armazenamento externo. |
||
Descoberta de informações do sistema |
O XploitSPY pode extrair informações sobre o dispositivo, incluindo modelo do dispositivo, ID do dispositivo e informações comuns do sistema. |
||
Coleção |
Dados do sistema local |
O XploitSPY pode exfiltrar arquivos de um dispositivo. |
|
Notificações de acesso |
O XploitSPY pode coletar mensagens de vários aplicativos. |
||
Captura de áudio |
O XploitSPY pode gravar áudio do microfone. |
||
Dados da área de transferência |
O XploitSPY pode obter o conteúdo da área de transferência. |
||
Localização Rastreamento |
O XploitSPY rastreia a localização do dispositivo. |
||
Dados do usuário protegidos: registros de chamadas |
O XploitSPY pode extrair registros de chamadas. |
||
Dados do usuário protegidos: lista de contatos |
O XploitSPY pode extrair a lista de contatos do dispositivo. |
||
Dados do usuário protegidos: mensagens SMS |
O XploitSPY pode extrair mensagens SMS. |
||
Comando e controle |
Protocolo de camada de aplicativo: protocolos da Web |
O XploitSPY usa HTTPS para se comunicar com seu servidor C&C. |
|
Porta não padrão |
O XploitSPY se comunica com seu servidor C&C usando solicitações HTTPS pela porta 21,572, 28,213ou 21,656. |
||
exfiltration |
Exfiltração no canal C2 |
O XploitSPY exfiltra dados usando HTTPS. |
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.welivesecurity.com/en/eset-research/exotic-visit-campaign-tracing-footprints-virtual-invaders/
- :tem
- :é
- :não
- :onde
- 1
- 1.3
- 10
- 11
- 114
- 12
- 13
- 14
- 15%
- 170
- 179
- 2021
- 2022
- 2023
- 22
- 26%
- 28
- 30
- 40
- 7
- 8
- 9
- a
- Capaz
- Sobre
- acima
- Acesso
- acessando
- conformemente
- Conta
- Contas
- em
- ações
- ativado
- ativo
- atividades
- atividade
- atores
- real
- adicionado
- acrescentando
- Adicional
- endereço
- endereços
- ajustar
- admin
- Depois de
- visa
- Alertar
- Todos os Produtos
- aliança
- permite
- alfa
- já
- tb
- alternativa
- Apesar
- an
- análise
- analisar
- analisado
- e
- andróide
- Outro
- qualquer
- mais
- qualquer um
- app
- Desenvolvimento de aplicativos
- loja de aplicativos
- aparência
- apareceu
- aparece
- Aplicação
- aplicações
- aplica
- abordagem
- Aplicativos
- APT
- arquivo
- SOMOS
- argumento
- por aí
- AS
- Ásia
- Montagem
- avaliar
- associado
- At
- tentativa
- Tentativas
- auditivo
- AGOSTO
- autor
- Automatizado
- disponível
- consciente
- isca
- base
- baseado
- BE
- passou a ser
- Porque
- sido
- antes
- comportamento
- atrás
- ser
- Acreditar
- abaixo
- entre
- ambos
- amplo
- transmissão
- construído
- empacotado
- mas a
- by
- C + +
- chamada
- chamado
- chamada
- veio
- Câmera
- Campanha
- CAN
- não podes
- capaz
- cuidadosamente
- casas
- casos
- certo
- certificado
- bate-papo
- verificar
- Cheques
- chinês
- reivindicações
- classe
- código
- coletar
- COM
- comando
- comentar
- comum
- comunicar
- comparado
- comparação
- Comprometido
- dissimular
- confiança
- da conexão
- conecta
- Contacto
- contatos
- não contenho
- contida
- contém
- conteúdo
- continuar
- ao controle
- poderia
- contar
- países
- coberto
- crio
- criado
- personalizadas
- personalizado
- dados,
- Data
- dias
- Dezembro
- dezembro 2021
- dedicado
- Defesa
- descreve
- descrito
- descreve
- Apesar de
- detalhes
- descobrir
- detectou
- Detecção
- desenvolvido
- Developer
- desenvolvedores
- Desenvolvimento
- dispositivo
- DID
- diferir
- diferente
- diretórios
- anuário
- descoberto
- monitores
- distintivo
- distribuído
- distribuindo
- distribuição
- parece
- domínio
- não
- down
- download
- baixados
- descarga
- de downloads
- dois
- durante
- dinâmico
- cada
- Mais cedo
- esforços
- Elaborar
- permite
- codificado
- final
- aprimoramento
- suficiente
- Pesquisa ESET
- espionagem
- evasão
- Mesmo
- SEMPRE
- evidência
- evoluiu
- Exceto
- executar
- execução
- exfiltração
- Exótico
- opção
- externo
- extrato
- falsificação
- FB
- Característica
- Funcionalidades
- Fevereiro
- Figura
- Envie o
- Arquivos
- Encontre
- descobertas
- Firebase
- Primeiro nome
- cinco
- concentra-se
- seguinte
- segue
- comida
- alimentos
- Escolha
- encontrado
- quatro
- freqüentemente
- da
- função
- funcional
- funcionalidades
- funcionalidade
- funcionamento
- funções
- futuro
- ganhou
- ter
- GitHub
- Google Play
- Google Play Store
- gps
- Grade
- Grupo
- tinha
- mais duro
- prejudicial
- hash
- Ter
- oculto
- Esconder
- se escondendo
- Alta
- mais
- hospital
- hospedado
- anfitriões
- Como funciona o dobrador de carta de canal
- Contudo
- HTTPS
- ID
- identificado
- identificar
- identificar
- if
- ilustrar
- imagem
- implementação
- implementado
- importante
- melhorar
- in
- incluir
- incluído
- inclui
- Incluindo
- Índia
- indicam
- indicação
- Infinita
- info
- INFORMAÇÕES
- do estado inicial,
- Inquéritos
- inseguro
- inspirado
- instalar
- instalado
- instalando
- em vez disso
- integrado
- Integra-se
- Inteligência
- intenção
- interesse
- Interface
- internamente
- Internet
- para dentro
- IP
- IT
- ESTÁ
- janeiro
- Java
- jpeg
- Julho
- Junho
- apenas por
- mantém
- conhecido
- língua
- Sobrenome
- Atrasado
- mais tarde
- mais recente
- camada
- mínimo
- esquerda
- legítimo
- Nível
- bibliotecas
- Biblioteca
- como
- Provável
- LINK
- ligado
- Lista
- Listado
- listagem
- listas
- local
- localização
- entrar
- mais
- Baixo
- máquina
- moldadas
- a Principal
- principalmente
- fazer
- fabricante
- Fazendo
- malicioso
- malwares
- Posso..
- significa
- membro
- mencionar
- mencionado
- mensagens
- mensagens
- App de mensagens
- Messenger
- método
- métodos
- microfone
- poder
- mitigação
- Móvel Esteira
- modelo
- modificações
- mais
- Além disso
- a maioria
- na maioria das vezes
- movido
- múltiplo
- Música
- nome
- Nomeado
- nomes
- nativo
- Natureza
- necessário
- redes
- Novo
- recentemente
- não
- nota
- notificação
- notificações
- Novembro
- Novembro de 2021
- agora
- número
- números
- obter
- of
- oferecer
- Oferece
- oficial
- frequentemente
- on
- ONE
- online
- só
- para
- open source
- operado
- operação
- or
- Outros
- Outros
- de outra forma
- A Nossa
- Acima de
- próprio
- proprietário
- proprietários
- possui
- pacote
- página
- Paquistão
- Paquistanês
- painel
- parte
- particular
- parceiro
- caminho
- caminhos
- Realizar
- atuação
- realização
- possivelmente
- permissões
- telefone
- FOTOS
- platão
- Inteligência de Dados Platão
- PlatãoData
- Jogar
- Jogar para
- Play Store
- por favor
- Podcasts
- pontos
- Popular
- coloca
- posando
- potencial
- potencialmente
- presente
- evitar
- impede
- anterior
- anteriormente
- principalmente
- privado
- provavelmente
- Agenda
- projeto
- prometido
- solicita
- protocolo
- fornecer
- fornecido
- publicado
- propósito
- fins
- empurrado
- rapidamente
- bastante
- RAT
- em vez
- RE
- alcançado
- reais
- receber
- recebido
- registro
- redirecionar
- região
- registrado
- registradores
- relacionado
- relativamente
- remoto
- remoção
- Removido
- substituído
- Denunciar
- Relatórios
- representado
- pedidos
- pesquisa
- pesquisadores
- respectivamente
- resultar
- retorno
- revelando
- riscado
- certo
- riscos
- corrida
- tempo de execução
- mesmo
- amostra
- caixas de areia
- dizer
- Pesquisar
- Seção
- seções
- segurança
- riscos de segurança
- Vejo
- parece
- visto
- selecionar
- sensível
- servidor
- Servidores
- serviço
- Serviços
- Sete
- vários
- compartilhado
- rede de apoio social
- mostrar
- mostrando
- Shows
- Signal
- assinado
- SIM
- simultaneamente
- desde
- SIX
- Tamanho
- SMS
- So
- alguns
- sofisticado
- Fontes
- Sul
- especialista
- específico
- especificamente
- especificada
- começo
- começado
- Comece
- inicialização
- estático
- Ainda
- Dê um basta
- armazenamento
- loja
- armazenadas
- Estratégia
- Tanga
- discordaram
- Subseqüentemente
- substancial
- bem sucedido
- entraram com sucesso
- tal
- Em torno da
- .
- mesa
- tomado
- Target
- visadas
- alvejando
- tem como alvo
- Dados Técnicos:
- Análise Técnica
- técnica
- Tecnologias
- Telco
- Telegram
- dizer
- dez
- dezenas
- teste
- texto
- do que
- que
- A
- O Futuro
- deles
- Eles
- então
- Lá.
- Este
- deles
- think
- isto
- aqueles
- ameaça
- atores de ameaças
- três
- Através da
- todo
- tempo
- linha do tempo
- vezes
- Título
- para
- ferramentas
- topo
- Traçado
- pista
- Rastreamento
- faixas
- truque
- experimentado
- desencadeado
- túnel
- Ucrânia
- incapaz
- para
- único
- até
- Atualizar
- Atualizações
- carregado
- us
- usar
- usava
- Utilizador
- Interface de Usuário
- usuários
- usos
- utilização
- utiliza
- validado
- valor
- vário
- verificar
- versão
- versões
- muito
- via
- Vítima
- vítimas
- Virtual
- visibilidade
- Visite a
- foi
- we
- web
- Site
- sites
- BEM
- foram
- quando
- enquanto que
- se
- qual
- enquanto
- QUEM
- Wi-fi
- largamente
- largura
- de
- sem
- seria
- escrita
- escrito
- anos
- ainda
- produzindo
- zefirnet
- zero