Os pesquisadores da ESET descobriram uma campanha ativa de espionagem direcionada a usuários do Android com aplicativos que se apresentam principalmente como serviços de mensagens. Embora esses aplicativos ofereçam serviços funcionais como isca, eles vêm com malware XploitSPY de código aberto. Chamamos esta campanha de eXotic Visit e rastreamos suas atividades desde novembro de 2021 até o final de 2023. A campanha direcionada tem distribuído aplicativos Android maliciosos por meio de sites dedicados e, por algum tempo, também por meio da Google Play Store. Devido à natureza direcionada da campanha, os aplicativos disponíveis no Google Play tiveram um baixo número de instalações; todos eles foram removidos da loja. A campanha eXotic Visit parece ter como alvo principal um grupo seleto de usuários do Android no Paquistão e na Índia. Não há indicação de que esta campanha esteja ligada a algum grupo conhecido; no entanto, estamos rastreando os atores da ameaça por trás disso sob o apelido de Virtual Invaders.

Pontos principais do relatório:

• Esta campanha ativa e direcionada de espionagem Android, que chamamos de eXotic Visit, começou no final de 2021 e se faz passar principalmente por aplicativos de mensagens distribuídos por meio de sites dedicados e do Google Play.
• No geral, no momento em que este artigo foi escrito, cerca de 380 vítimas baixaram os aplicativos de ambas as fontes e criaram contas para usar a funcionalidade de mensagens. Devido à natureza direcionada da campanha, o número de instalações de cada aplicativo do Google Play é relativamente baixo – entre zero e 45.
• Os aplicativos baixados fornecem funcionalidades legítimas, mas também incluem código do Android RAT XploitSPY de código aberto. Vinculamos as amostras por meio do uso do mesmo C&C, atualizações de código malicioso exclusivas e personalizadas e do mesmo painel de administração C&C.
• Ao longo dos anos, esses agentes de ameaças personalizaram seus códigos maliciosos adicionando ofuscação, detecção de emulador, ocultação de endereços C&C e uso de uma biblioteca nativa.
• A região de interesse parece ser o Sul da Ásia; em particular, as vítimas no Paquistão e na Índia foram visadas.
• Atualmente, a ESET Research não possui evidências suficientes para atribuir esta atividade a qualquer grupo de ameaça conhecido; rastreamos o grupo internamente como Invasores Virtuais.

Os aplicativos que contêm o XploitSPY podem extrair listas de contatos e arquivos, obter a localização GPS do dispositivo e os nomes dos arquivos listados em diretórios específicos relacionados à câmera, downloads e vários aplicativos de mensagens, como Telegram e WhatsApp. Se determinados nomes de arquivos forem identificados como de interesse, eles poderão ser posteriormente extraídos desses diretórios por meio de um comando adicional do servidor de comando e controle (C&C). Curiosamente, a implementação da funcionalidade de chat integrada ao XploitSPY é única; acreditamos fortemente que esta função de chat foi desenvolvida pelo grupo Virtual Invaders.

O malware também usa uma biblioteca nativa, que é frequentemente usada no desenvolvimento de aplicativos Android para melhorar o desempenho e acessar recursos do sistema. Porém, neste caso, a biblioteca é utilizada para ocultar informações confidenciais, como os endereços dos servidores C&C, dificultando a análise do aplicativo pelas ferramentas de segurança.

Os aplicativos descritos nas seções abaixo foram retirados do Google Play; além disso, como um Aliança de defesa de aplicativos do Google parceiro, a ESET identificou dez aplicativos adicionais que contêm código baseado no XploitSPY e compartilhou suas descobertas com o Google. Seguindo nosso alerta, os apps foram removidos da loja. Cada um dos aplicativos descritos abaixo teve um baixo número de instalações, sugerindo uma abordagem direcionada em vez de uma estratégia ampla. A seção Linha do tempo dos aplicativos eXotic Visit abaixo descreve os aplicativos “falsos”, embora funcionais, que identificamos como parte desta campanha, enquanto a seção de análise técnica se concentra nos detalhes do código XploitSPY, presente em várias encarnações nesses aplicativos.

Linha do tempo dos aplicativos eXotic Visit

Começando cronologicamente, em 12 de janeiro^th, 2022, MalwareHunterTeam compartilhou um Tweet com um hash e um link para um site que distribui um aplicativo chamado WeTalk, que imita o popular aplicativo chinês WeChat. O site forneceu um link para um projeto GitHub para baixar um aplicativo Android malicioso. Com base na data disponível no GitHub, o wetalk.apk o aplicativo foi carregado em dezembro de 2021.

Naquela época, havia cinco aplicativos disponíveis, usando os nomes ChitChat.apk, Aprenda Sindi.apk, SafeChat.apk, wechat.apk e wetalk.apk. O aplicativo ChitChat estava disponível no GitHub desde novembro de 2021, distribuído por meio de um site dedicado (bate-papo.ngrok[.]io; veja a Figura 1), bem como os maliciosos Nós falamos aplicativo mencionado anteriormente. Ambos usam o mesmo endereço C&C com a interface de login do painel de administração mostrada na Figura 2.

Desde julho de 2023, a mesma conta GitHub hospedou novos aplicativos Android maliciosos que possuem o mesmo código malicioso e servidor C&C. Não temos informações sobre como esses aplicativos são distribuídos. Os aplicativos são armazenados em cinco repositórios, usando nomes como ichat.apk, MeusÁlbuns.apk, PersonalMessenger.apk, Grade de colagem de fotos e criador de fotos.apk, Fotos.apk, PrivateChat.apk, SimInfo.apk, Hospital Especializado.apk, Spotify_ Música e Podcasts.apk, TalkUChat.apk e Temas para Android.apk.

Retornando a ChitChat.apk e wetalk.apk: ambos os aplicativos contêm a funcionalidade de mensagens prometida, mas também incluem código malicioso que identificamos como código aberto ExplorarSPY disponível no GitHub. O XploitSPY é baseado em outro RAT Android de código aberto chamado L3MON; no entanto, foi removido do GitHub pelo seu autor. L3MON foi inspirado em outro RAT Android de código aberto chamado AhMito, com funcionalidade estendida (cobrimos outro RAT Android derivado do AhMyth neste Postagem no blog WeLiveSecurity).

Espionagem e controle remoto do dispositivo alvo são os principais objetivos do aplicativo. Seu código malicioso é capaz de:

• listando arquivos no dispositivo,
• enviando mensagens SMS,
• obter registros de chamadas, contatos, mensagens de texto e uma lista de aplicativos instalados,
• obter uma lista de redes Wi-Fi próximas, localização do dispositivo e contas de usuário,
• tirar fotos usando a câmera,
• gravar áudio do ambiente do dispositivo e
• interceptar notificações recebidas para WhatsApp, Signal e qualquer outra notificação que contenha a string novas mensagens.

A última função pode ser uma tentativa preguiçosa de interceptar mensagens recebidas de qualquer aplicativo de mensagens.

O mesmo endereço C&C usado pelos aplicativos mencionados anteriormente (wechat.apk e ChitChat.apk) também é usado pelo Dink Messenger. Baseado em VirusTotal's URLs in-the-wild, este exemplo estava disponível para download em letchitchat[.]info em 24 de fevereiro^th, 2022. Esse domínio foi registrado em 28 de janeiro^th, 2022. Além da funcionalidade de mensagens, os invasores adicionaram código malicioso baseado no XploitSPY.

No dia 8 de novembro^th, 2022, Equipe MalwareHunter twittou um hash do Android malicioso alphachat.apk aplicativo com seu download do site. O aplicativo estava disponível para download no mesmo domínio do aplicativo Dink Messenger (letchitchat[.]informações). O aplicativo Alpha Chat usa o mesmo servidor C&C e página de login do painel de administração C&C como na Figura 2, mas em uma porta diferente; o aplicativo também contém o mesmo código malicioso. Não temos informações sobre quando o Dink Messenger esteve disponível no domínio; posteriormente, foi substituído pelo Alpha Chat.

O aplicativo Alpha Chat trojanizado, em comparação com versões anteriores do XploitSPY da campanha eXotic Visit, contém uma atualização de código malicioso que inclui detecção de emulador. Se este aplicativo detectar que está sendo executado em um emulador, ele usará um endereço C&C falso em vez de revelar o endereço real, como mostrado na Figura 3. Isso provavelmente deve impedir que sandboxes de malware automatizados, durante a execução de análises dinâmicas, identifiquem o endereço real. Servidor C&C.

Alpha Chat também usa um endereço C&C adicional para exfiltrar arquivos que não sejam de imagem com tamanho superior a 2 MB. Outros arquivos são exfiltrados por meio de um soquete da web para o servidor C&C.

Trata-se de uma conexão entre os aplicativos Dink Messenger e Alpha Chat: ambos foram distribuídos no mesmo site dedicado. No entanto, o Dink Messenger também foi cuidadosamente distribuído pela Google Play Store: a versão 1.0 do Dink Messenger apareceu no Google Play em 8 de fevereiro.^th, 2022, mas sem nenhuma funcionalidade maliciosa incluída. Este pode ter sido um teste do agente da ameaça para ver se o aplicativo seria validado e carregado com sucesso na loja. Em 24 de maio^thEm 2022, foi carregada a versão 1.2, ainda sem funcionalidades maliciosas. Naquela época, o aplicativo foi instalado mais de 15 vezes. Em 10 de junho^th, 2022, a versão 1.3 foi carregada no Google Play. Esta versão continha código malicioso, conforme mostrado na Figura 4.

Posteriormente, mais três versões foram carregadas no Google Play com o mesmo código malicioso; a última, versão 1.6, foi carregada em 15 de dezembro^th, 2022. Ao todo, essas seis versões têm mais de 40 instalações. Não temos informações de quando o aplicativo foi removido da loja. Todas as versões do aplicativo com e sem código malicioso foram assinadas pelo mesmo certificado de desenvolvedor, o que significa que foram criadas e enviadas ao Google Play pelo mesmo desenvolvedor malicioso.

Também é importante mencionar que o aplicativo Dink Messenger disponível em letchitchat[.]informações usava o mesmo servidor C&C do aplicativo Dink Messenger no Google Play e poderia executar ações maliciosas estendidas; entretanto, a interface do usuário de cada um era diferente (veja a Figura 5). O Dink Messenger no Google Play implementou verificações de emulador (assim como o Alpha Chat), enquanto o do site dedicado não.

Em agosto 15^th, 2022, o aplicativo Telco DB (com o nome do pacote com.infinitetechnology.telcodb), que afirma fornecer informações sobre os proprietários dos números de telefone, foi carregado em uma loja de aplicativos alternativa; veja a Figura 6. Este aplicativo tem o mesmo código malicioso, uma verificação de emulador recém-adicionada com redirecionamento de endereço C&C falso e um servidor C&C adicional para exfiltração de arquivos. O endereço C&C não é codificado, como nos casos anteriores; em vez disso, ele é retornado de um servidor Firebase. Acreditamos que este seja mais um truque para ocultar o servidor C&C real, e talvez até atualizá-lo no futuro. Com alto nível de confiança avaliamos que este aplicativo faz parte da campanha eXotic Visit.

Quatro dias depois, em 19 de agosto^thEm 2022, o aplicativo Sim Info foi carregado no Google Play como parte da campanha. Ele também afirma fornecer ao usuário informações sobre quem possui um número de telefone.

O código malicioso se comunica com o mesmo servidor C&C das amostras anteriores e é o mesmo, exceto que os agentes da ameaça incluíram uma biblioteca nativa. Elaboramos mais sobre esta biblioteca nativa na seção Conjunto de ferramentas. Sim Info atingiu mais de 30 mil instalações no Google Play; não temos informações sobre quando ele foi retirado da loja.

No dia 21 de junho^stEm 2023, o aplicativo malicioso Defcom foi carregado no Google Play; veja a Figura 7.

Defcom é um aplicativo de mensagens trojanizado que faz parte da campanha eXotic Visit, usando o mesmo código malicioso e biblioteca nativa para recuperar seu servidor C&C. Ele usa um novo servidor C&C, mas com a mesma interface de login do painel de administração mostrada na Figura 2. Este domínio C&C (zee.xylonn[.]com) foi registrado em 2 de junho^nd 2023.

Antes de o aplicativo ser removido, em junho de 2023, ele atingiu cerca de seis instalações no Google Play.

Na Figura 8, ilustramos um cronograma de quando todos os aplicativos foram disponibilizados pela primeira vez para download como parte da campanha.

Além dos aplicativos maliciosos já mencionados que fazem parte da campanha, conseguimos identificar aplicativos adicionais que foram enviados para o Google Play e outros onde foi feita uma tentativa de upload, mas não podemos dizer se os uploads foram bem-sucedidos. Embora os tenhamos identificado com base nos mesmos nomes de detecção, não conseguimos obter as amostras para analisá-los e verificar se fazem parte da mesma campanha. Em qualquer caso, eles contêm código malicioso baseado no XploitSPY. A Tabela 1 lista os aplicativos XploitSPY que estavam disponíveis no Google Play. Cada um desses aplicativos teve um baixo número de instalações. Um número substancial de aplicativos disponíveis no Google Play não teve nenhuma instalação, com alguns rendendo menos de 10 instalações. A maior contagem de instalações da Play Store ficou abaixo de 45.

Tabela 1. Mais aplicativos contendo XploitSPY que estavam disponíveis no Google Play

Nome do aplicativo	Nome do pacote	Data de upload para o Google Play
Bate-papo Zaangi	com.infinite.zaangichat	Julho de 22nd, 2022
Mensageiro de vime	com.reelsmart.wickermessenger	Agosto de 25th, 2022
Rastreador de despesas	com.solecreative.expensemanager	Novembro de 4th, 2022

A Tabela 2 lista os aplicativos maliciosos que os desenvolvedores tentaram enviar no Google Play; no entanto, não temos informações sobre se eles foram ou não disponibilizados no Google Play.

Tabela 2. Aplicativos contendo XploitSPY que foram carregados no Google Play

Nome do aplicativo	Nome do pacote	Data de upload para o Google Play
Sinal Lite	com.techexpert.signallite	Dezembro 1st, 2021
Banco de dados de telecomunicações	com.infinitetech.telcodb	Julho de 25th, 2022
Banco de dados de telecomunicações	com.infinitetechnology.telcodb	Julho de 29th, 2022
Bate-papo telefônico	com.techsight.telechat	Novembro de 8th, 2022
Acompanhar orçamento	com.solecreative.trackbudget	Dezembro 30th, 2022
SnapMe	com.zcoders.snapme	Dezembro 30th, 2022
talkU	com.takewis.talkuchat	Fevereiro de 14th, 2023

A ESET é membro da App Defense Alliance e parceira ativa no programa de mitigação de malware, que visa encontrar rapidamente Aplicativos Potencialmente Nocivos (PHAs) e impedi-los antes que cheguem ao Google Play.

Como parceira da Google App Defense Alliance, a ESET identificou todos os aplicativos mencionados como maliciosos e compartilhou suas descobertas com o Google, que posteriormente os cancelou. Todos os aplicativos identificados no relatório que estavam no Google Play não estão mais disponíveis na Play Store.

Vitimologia

Nossa pesquisa indica que aplicativos maliciosos desenvolvidos pela eXotic Visit foram distribuídos através do Google Play e de sites dedicados, e quatro desses aplicativos visavam principalmente usuários no Paquistão e na Índia. Detectamos um desses quatro aplicativos, Sim Info, em um dispositivo Android na Ucrânia, mas não acreditamos que a Ucrânia esteja sendo alvo específico, pois o aplicativo estava disponível no Google Play para download por qualquer pessoa. Com base em nossos dados, cada um dos aplicativos maliciosos disponíveis no Google Play foi baixado dezenas de vezes; no entanto, não temos visibilidade dos detalhes do download.

Identificamos alvos potenciais para quatro desses aplicativos: Sim Info, Telco DB (com.infinitetechnology.telcodb), Shah jee Foods e Hospital Especializado.

Os aplicativos Sim Info e Telco DB fornecem aos usuários a funcionalidade de pesquisar informações do proprietário do SIM para qualquer número de celular do Paquistão, usando o serviço online dbcenteruk. com; veja a Figura 9.

No dia 8 julho^th, 2022, um aplicativo chamado Shah jee Foods foi carregado em VirusTotal do Paquistão. Este aplicativo faz parte da campanha. Após a inicialização, ele exibe um site de pedidos de comida para a região do Paquistão, foodpanda.pk.

O aplicativo Specialist Hospital, disponível no GitHub, se apresenta como o aplicativo para Hospital Especializado na Índia (hospitalespecialista.in); veja a Figura 10. Após iniciar, o aplicativo solicita as permissões necessárias para realizar suas atividades maliciosas e, em seguida, solicita ao usuário que instale o aplicativo legítimo de Google Play.

Conseguimos encontrar mais de 380 contas comprometidas criadas em alguns desses aplicativos; no entanto, não conseguimos recuperar sua geolocalização. Como o mesmo código inseguro foi encontrado em dez aplicativos, podemos dizer com alto nível de confiança que eles foram desenvolvidos pelo mesmo autor da ameaça.

Estratégias de Atribuição

Acompanhamos esta operação, ativa desde o final de 2021, como eXotic Visit, mas com base na pesquisa da ESET e de outros, não podemos atribuir esta campanha a nenhum grupo conhecido. Como resultado, rotulamos internamente o grupo por trás desta operação como Invasores Virtuais.

O XploitSPY está amplamente disponível e versões personalizadas têm sido usadas por vários atores de ameaças, como o tribo transparente Grupo APT, conforme documentado por Meta. No entanto, as modificações encontradas nos aplicativos que descrevemos como parte da campanha eXotic Visit são distintas e diferem daquelas em variantes previamente documentadas do malware XploitSPY.

Análise técnica

Acesso inicial

O acesso inicial ao dispositivo é obtido enganando uma vítima em potencial para que instale um aplicativo falso, mas funcional. Conforme descrito na seção Linha do tempo dos aplicativos eXotic Visit, os aplicativos maliciosos ChitChat e WeTalk foram distribuídos por meio de sites dedicados (bate-papo.ngrok[.]io e wetalk.ngrok[.]io, respectivamente) e hospedado no GitHub (https://github[.]com/Sojal87/).

Naquela época, mais três aplicativos – Aprenda Sindi.apk, SafeChat.apk e wechat.apk – estavam disponíveis na mesma conta GitHub; não temos conhecimento de seu vetor de distribuição. Em julho de 2023, esses aplicativos não estavam mais disponíveis para download em seus repositórios GitHub. No entanto, a mesma conta GitHub agora hospeda vários novos aplicativos maliciosos disponíveis para download. Todos esses novos aplicativos também fazem parte da campanha maliciosa de espionagem eXotic Visit, por conterem também variantes do mesmo código XploitSPY.

Os aplicativos Dink Messenger e Alpha Chat foram hospedados em um site dedicado (letchitchat[.]informações), a partir do qual as vítimas foram incentivadas a baixar e instalar o aplicativo.

Os aplicativos Dink Messenger, Sim Info e Defcom estavam disponíveis no Google Play até serem removidos pelo Google.

Toolset

Todos os aplicativos analisados ​​contêm personalizações do código do aplicativo malicioso XploitSPY disponível em GitHub. Desde a primeira versão encontrada em 2021 até a versão mais recente, distribuída pela primeira vez em julho de 2023, temos visto esforços contínuos de desenvolvimento. Invasores Virtuais incluiu:

• uso de um servidor C&C falso se um emulador for detectado,
• ofuscação de código,
• uma tentativa de ocultar os endereços C&C da análise estática, recuperando-os de seu servidor Firebase, e
• utilização de uma biblioteca nativa que mantém o servidor C&C e outras informações codificadas e ocultadas das ferramentas de análise estática.

O que se segue é a nossa análise do malware XploitSPY personalizado que, no aplicativo Defcom, estava disponível no Google Play.

Defcom integra o código XploitSPY com uma funcionalidade exclusiva de chat; acreditamos com alto nível de confiança que a funcionalidade de chat foi criada por Virtual Invaders. Isso se aplica a todos os outros aplicativos de mensagens que incluem o XploitSPY.

Após o início, o aplicativo solicita que os usuários criem uma conta e, simultaneamente, tenta obter detalhes de localização do dispositivo consultando api.ipgeolocation.io e encaminhando o resultado para um servidor Firebase. Este servidor também funciona como servidor do componente de mensagens. A interface do aplicativo é mostrada na Figura 11.

Defcom utiliza um biblioteca nativa, frequentemente usado no desenvolvimento de aplicativos Android para melhoria de desempenho e acesso a recursos do sistema. Escritas em C ou C++, essas bibliotecas podem ser usadas para ocultar funcionalidades maliciosas. A biblioteca nativa do Defcom é chamada defcome-lib.so.

defcome-lib.soO objetivo do é ocultar informações confidenciais, como servidores C&C, da análise estática de aplicativos. Os métodos implementados na biblioteca retornam uma string codificada em base64 que é então decodificada pelo código malicioso durante o tempo de execução. Esta técnica não é muito sofisticada, mas impede que ferramentas de análise estática extraiam servidores C&C. A Figura 12 mostra as declarações do método nativo no código Java, e a Figura 13 a implementação do getServerUrl método no código assembly. Observe que o comentário acima de cada declaração na Figura 12 é o valor de retorno decodificado ao chamar esse método.

Os comandos a serem executados no dispositivo comprometido são retornados do servidor C&C. Cada comando é representado por um valor de string. A lista dos comandos é:

• 0xCO – Obtenha lista de contatos.
• 0xDA – Exfiltrar arquivo do dispositivo. O caminho para o arquivo é recebido do servidor C&C.
• 0xFI – Lista os arquivos no diretório especificado pelo servidor. Com um argumento adicional, ele pode fazer upload de arquivos de um diretório especificado para o servidor C&C.
• 0xIP – Obtenha a geolocalização do dispositivo usando o ipgeolocalização.io serviço.
• 0xLO – Obtenha a localização GPS do dispositivo.
• 0xOF – Liste arquivos em sete diretórios específicos. Em quatro casos, os caminhos dos arquivos são codificados, em três casos apenas os nomes das pastas. Um argumento adicional especifica o diretório:
  • 0xCA – Câmera
  • 0xDW – Downloads
  • 0xSS – /armazenamento/emulado/0/Imagens/Capturas de tela
  • 0xTE – Telegrama
  • 0xWB – /storage/emulated/0/Android/media/com.whatsapp.w4b/WhatsApp Business/Media
  • 0xWG – /storage/emulated/0/Android/media/com.gbwhatsapp/GBWhatsApp/Media
  • 0xWP – /storage/emulated/0/Android/media/com.whatsapp/WhatsApp/Media

Curiosamente, o GB WhatsApp é uma versão clonada não oficial do WhatsApp. Embora ofereça recursos adicionais que o tornaram bastante popular, é importante observar que não está disponível no Google Play. Em vez disso, é frequentemente encontrado em vários sites de download, onde suas versões são frequentemente repletas de malware. O aplicativo tem uma base de usuários substancial em vários países, incluindo a Índia, apesar dos riscos de segurança associados.

A Figura 14 e a Figura 15 mostram a exfiltração de uma lista de contatos e uma listagem de diretório.

Infraestrutura de rede

Uso de invasores virtuais grok como seu servidor C&C; o serviço é um aplicativo multiplataforma que permite aos desenvolvedores expor um servidor de desenvolvimento local à Internet. O ngrok pode criar um túnel que se conecta usando servidores ngrok a uma máquina local. O ngrok permite que seus usuários – ou seja, os invasores neste caso – reservar um endereço IP específico ou redirecione a vítima para o domínio do próprio invasor em uma porta específica.

Conclusão

Descrevemos a campanha eXotic Visit, operada pelo ator de ameaça Virtual Invaders, que está ativa pelo menos desde o final de 2021. Ao longo dos anos, a campanha evoluiu. A distribuição começou em sites dedicados e depois passou até para a loja oficial do Google Play.

Identificamos o código malicioso usado como uma versão personalizada do Android RAT de código aberto, XploitSPY. Ele vem com funcionalidades de aplicativos legítimos, na maioria das vezes sendo um aplicativo de mensagens falso, mas funcional. A campanha evoluiu ao longo dos anos para incluir ofuscação, detecção de emulador e ocultação de endereços C&C. O objetivo da campanha é a espionagem e provavelmente tem como alvo vítimas no Paquistão e na Índia.

Para quaisquer dúvidas sobre nossa pesquisa publicada no WeLiveSecurity, entre em contato conosco em [email protegido].
A ESET Research oferece relatórios privados de inteligência APT e feeds de dados. Para qualquer esclarecimento sobre este serviço, visite o Inteligência de ameaças ESET Disputas de Comerciais.

IoCs

Arquivos

SHA-1	Nome do arquivo	nome de detecção ESET	Descrição
C9AE3CD4C3742CC3353A F353F96F5C9E8C663734	alphachat.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
89109BCC3EC5B8EC1DC9 C4226338AECDBE4D8DA4	com.appsspot.defcom.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
BB28CE23B3387DE43EFB 08575650A23E32D861B6	com.egoosoft.siminfo-4-apksos.com.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
7282AED684FB1706F026 AA85461FB852891C8849	com.infinitetech.dinkmessenger_v1_3.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
B58C18DB32B72E6C0054 94DE166C291761518E54	com.infinitetechnology.telcodb.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
A17F77C0F98613BF349B 038B9BC353082349C7AA	dinkmessenger.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
991E820274AA02024D45 31581EA7EC6A801C38FA	ChitChat.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
7C7896613EB6B54B9E9A AD5C19ACC7BF239134D4	ichat.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
17FCEE9A54AD174AF971 3E39C187C91E31162A2F	MeusÁlbuns.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
3F0D58A6BA8C0518C8DF 1567ED9761DC9BDC6C77	PersonalMessenger.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
A7AB289B61353B632227 2C4E7A4C19F49CB799D7	PhotoCollageGridAndPicMaker.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
FA6624F80BE92406A397 B813828B9275C39BCF75	Fotos.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
4B8D6B33F3704BDA0E69 368C18B7E218CB7970EE	PrivateChat.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
706E4E701A9A2D42EF35 C08975C79204A73121DC	Shah_jee_Foods__com.electron.secureapp.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
A92E3601328CD9AF3A69 7B5B09E7EF20EDC79F8E	SimInfo.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
6B71D58F8247FFE71AC4 EDFD363E79EE89EDDC21	HospitalEspecialista.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
9A92224A0BEF9EFED027 8B70300C8ACC4F7E0D8E	Spotify_Music_and_Podcasts.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
7D50486C150E9E4308D7 6A6BF81788766292AE55	TalkUChat.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
50B896E999FA96B5AEBD A7FE8E28E116B1760ED5	Temas_para_Android.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.
0D9F42CE346090F7957C A206E5DC5A393FB3513F	wetalk.apk	Android/Espião.XploitSPY.A	Malware XploitSPY.

Network

IP	Domínio	Provedor de hospedagem	Visto pela primeira vez	Adicionar ao carrinho
3.13.191[.]225	phpdownload.ngrok[.]io	Amazon.com, Inc.	2022-11-14	Servidor C&C.
3.22.30[.]40	bate-papo.ngrok[.]io wetalk.ngrok[.]io	Amazon.com, Inc.	2022-01-12	Sites de distribuição.
3.131.123[.]134	3.tcp.ngrok[.]io	Amazon Technologies Inc.	2020-11-18	Servidor C&C.
3.141.160[.]179	zee.xylonn[.]com	Amazon.com, Inc.	2023-07-29	Servidor C&C.
195.133.18[.]26	letchitchat[.]informações	Serverion LLC	2022-01-27	Site de distribuição.

Técnicas MITER ATT e CK

Esta tabela foi construída usando versão 14 da estrutura MITRE ATT&CK.

Tática	ID	Nome	Descrição
Persistência	T1624.001	Execução acionada por evento: Receptores de transmissão	O XploitSPY se registra para receber o BOOT_COMPLETED intenção de transmissão para ativar na inicialização do dispositivo.
Evasão de defesa	T1575	API nativa	O XploitSPY usa uma biblioteca nativa para ocultar seus servidores C&C.
	T1633.001	Evasão de virtualização/sandbox: verificações do sistema	O XploitSPY pode detectar se está sendo executado em um emulador e ajustar seu comportamento de acordo.
Discovery	T1418	Descoberta de software	O XploitSPY pode obter uma lista de aplicativos instalados.
	T1420	Descoberta de arquivos e diretórios	O XploitSPY pode listar arquivos e diretórios em armazenamento externo.
	T1426	Descoberta de informações do sistema	O XploitSPY pode extrair informações sobre o dispositivo, incluindo modelo do dispositivo, ID do dispositivo e informações comuns do sistema.
Coleção	T1533	Dados do sistema local	O XploitSPY pode exfiltrar arquivos de um dispositivo.
	T1517	Notificações de acesso	O XploitSPY pode coletar mensagens de vários aplicativos.
	T1429	Captura de áudio	O XploitSPY pode gravar áudio do microfone.
	T1414	Dados da área de transferência	O XploitSPY pode obter o conteúdo da área de transferência.
	T1430	Localização Rastreamento	O XploitSPY rastreia a localização do dispositivo.
	T1636.002	Dados do usuário protegidos: registros de chamadas	O XploitSPY pode extrair registros de chamadas.
	T1636.003	Dados do usuário protegidos: lista de contatos	O XploitSPY pode extrair a lista de contatos do dispositivo.
	T1636.004	Dados do usuário protegidos: mensagens SMS	O XploitSPY pode extrair mensagens SMS.
Comando e controle	T1437.001	Protocolo de camada de aplicativo: protocolos da Web	O XploitSPY usa HTTPS para se comunicar com seu servidor C&C.
	T1509	Porta não padrão	O XploitSPY se comunica com seu servidor C&C usando solicitações HTTPS pela porta 21,572, 28,213ou 21,656.
exfiltration	T1646	Exfiltração no canal C2	O XploitSPY exfiltra dados usando HTTPS.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.welivesecurity.com/en/eset-research/exotic-visit-campaign-tracing-footprints-virtual-invaders/