详细内容或原文请订阅后点击阅览

eXotic Visit 活动:追踪虚拟入侵者的足迹

2024年4月10日 10:31 33 Comments
X Twitter Instagram Mail

ESET 研究人员发现了 eXotic Visit 间谍活动,该活动主要针对印度和巴基斯坦的用户,使用看似无害的应用程序

来源:WeLiveSecurity _恶意软件

ESET 研究人员发现了一个针对 Android 用户的活跃间谍活动,其应用程序主要伪装成消息服务。虽然这些应用程序提供功能服务作为诱饵,但它们与开源 XploitSPY 恶意软件捆绑在一起。我们将此活动命名为 eXotic Visit,并跟踪了其从 2021 年 11 月到 2023 年底的活动。该有针对性的活动一直通过专用网站分发恶意 Android 应用程序,一段时间以来,也通过 Google Play 商店分发。由于该活动的针对性,Google Play 上提供的应用程序安装数量很少;所有这些应用程序都已从商店中移除。eXotic Visit 活动似乎主要针对巴基斯坦和印度的一组特定 Android 用户。没有迹象表明该活动与任何已知组织有关;但是,我们正在跟踪其背后的威胁行为者,其绰号为 Virtual Invaders。

报告要点:

报告要点:
  • 这项活跃且有针对性的 Android 间谍活动(我们将其命名为 eXotic Visit)始于 2021 年底,主要冒充通过专用网站和 Google Play 分发的消息应用程序。
  • 总体而言,在撰写本文时,约有 380 名受害者从两个来源下载了这些应用程序并创建了帐户以使用其消息功能。由于该活动的针对性,每个应用程序在 Google Play 上的安装数量相对较低——介于 0 到 45 之间。
  • 下载的应用程序提供合法功能,但也包含来自开源 Android RAT XploitSPY 的代码。我们通过它们使用相同的 C&C、独特和自定义的恶意代码更新以及相同的 C&C 管理面板将这些样本联系起来。
  • 多年来,这些威胁行为者通过添加混淆、模拟器检测、隐藏 C&C 地址和使用本机库来定制他们的恶意代码。
    • Google 应用防御联盟

    eXotic Visit 应用的时间线

    th 推文 wetalk.apk WeTalk
    Google Play 消息 恶意代码 样本 Visit 活动 服务 使用 Android 行为 提供 应用程序 间谍活动 添加 分发 功能 eXotic 针对性