Multi-License Discount Quote
脅威データベース Mobile Malware XploitSpy モバイル マルウェア

XploitSpy モバイル マルウェア

Mobile Malware, TrojansMezoまで
翻訳内容:
日本語

「eXotic Visit」と呼ばれる新しい Android マルウェア キャンペーンが、南アジア、特にインドとパキスタンのユーザーを積極的にターゲットにしています。このキャンペーンは、専門の Web サイトと Google Play ストアを通じてマルウェアを配布しています。

研究者らは2021年11月からこのキャンペーンを監視していますが、既知の脅威アクターやグループとの関連は見つかりませんでした。彼らはその背後にいるグループをVirtual Invadersと名付けました。

これらのソースからダウンロードされた脅威的なアプリケーションは、正当な機能を提供しますが、オープンソースの Android XploitSPY RAT のコードも含まれています。このキャンペーンは非常に集中しているようで、Google Play のアプリケーションのインストール数は 0 から 45 と非常に少ないです。調査結果の結果、これらのアプリケーションはプラットフォームから削除されました。

攻撃活動では多数の偽のアプリケーションが利用された

詐欺的なアプリケーションは依然として機能しており、主に Alpha Chat、ChitChat、Defcom、Dink Messenger、Signal Lite、TalkU、WeTalk、Wicker Messenger、Zaangi Chat などのメッセージング プラットフォームを装っていました。約 380 人がこれらのアプリケーションをダウンロードしてアカウントを作成し、メッセージングに使用する目的で被害に遭ったと報告されています。

さらに、eXotic Visit キャンペーンの一環として、Sim Info や Telco DB などのアプリケーションが利用されています。これらのアプリケーションは、パキスタンの電話番号を入力するだけで SIM カード所有者に関する情報を提供すると主張しています。さらに、他のアプリケーションは、パキスタンの食品配達サービスや、Specialist Hospital (現在は Trilife Hospital に改名) として知られるインドの合法的な病院を装っています。

XploitSpy モバイルマルウェアは、さまざまな侵入機能を備えています

XploitSPY は、RaoMK というユーザーによって 2020 年 4 月に GitHub に最初にアップロードされましたが、インドのサイバーセキュリティ ソリューション企業 XploitWizer と関係があります。これは、AhMyth に触発された別のオープンソース Android トロイの木馬 L3MON の派生であると特定されています。

このマルウェアは、侵入したデバイスから機密データを収集できる幅広い機能を誇っています。GPS 位置の収集、マイクからの音声の録音、連絡先、SMS メッセージ、通話履歴、クリップボードの内容へのアクセスが可能です。また、WhatsApp、Facebook、Instagram、Gmail などの人気アプリから通知の詳細を抽出したり、ファイルのダウンロードやアップロード、インストールされたアプリケーションの表示、キューに入れられたコマンドの実行も可能です。

さらに、有害なアプリケーションは、スクリーンショット、WhatsApp、WhatsApp Business、Telegram、GBWhatsApp として知られる WhatsApp の改変版に関連付けられた特定のディレクトリから写真を撮影し、ファイルを列挙するようにプログラムされています。

攻撃者はステルス性を重視する傾向が強まっている

長年にわたり、これらの脅威アクターは難読化、エミュレータ検出、C2 アドレスの非表示、ネイティブ ライブラリの使用などを追加して、有害なコードをカスタマイズしてきました。ネイティブ ライブラリ「defcome-lib.so」の主な目的は、C2 サーバー情報を暗号化し、静的分析ツールから隠すことです。エミュレータが検出されると、アプリは偽の C2 サーバーを使用して検出を回避します。

アプリケーションの一部は、この目的のために特別に作成された Web サイト「chitchat.ngrok.io」を通じて拡散されており、この Web サイトは GitHub でホストされている Android パッケージ ファイル「ChitChat.apk」へのリンクを提供しています。被害者がどのようにしてこれらのアプリケーションに誘導されるのかは、現時点では明らかではありません。

研究者らは、配布は専用ウェブサイトから始まり、その後公式の Google Play ストアにまで移行したと述べています。このキャンペーンの目的はスパイ活動であり、おそらくパキスタンとインドの被害者をターゲットにしていると思われます。

トレンド

Capcheck.co.in

Rogue Websites, Adware, Browser Hijackers
Capcheck.co.in は信頼すべき Web サイトです。実際、これは個人的な利益のためにコンピュータ ユーザーを悪用することを目的とした個人によって作成されています。このサイトは、欺瞞的な戦術を使用して、プッシュ通知の真の目的と機能を歪める誤解を招くメッセージを通じてユーザーを誘惑し、プッシュ通知を有効にします。許可が付与されると、Capcheck.co.in は、ブラウザがアクティ...

HackBrowserData Infostealer マルウェア

Stealers
未知の攻撃者は、HackBrowserData と呼ばれるオープンソースの情報窃取マルウェアの改変版を使用して、インドの政府機関やエネルギー会社に注目を集めています。彼らの目的には、特定の場合にコマンド アンド コントロール (C2) メカニズムとして Slack を使用して、機密データを抜き出すことが含まれます。このマルウェアは、インド空軍からの招待状を装ったフィッシングメールを通じて拡散されました。 実行時に、攻撃者は Slack チャネルを経路として活用し、社内機密文書、私用メール通信、キャッシュされた Web ブラウザ データなど、さまざまな形式の機密情報を窃取しました。この文書...

X World Games のエアドロップ詐欺

Rogue Websites
徹底的な分析の結果、研究者らは、X World Games Airdrop Web サイトはスキームに関連しているため、いかなる状況でも信頼すべきではないと判断しました。この詐欺サイトは、正規の X World Games Web3 ブロックチェーン ゲーム プラットフォームを装います。この詐欺的なスキームは、資格のあるユーザーに XWG トークンと NFT (非代替トークン) のエアドロッ...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
77,079
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
61,333
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
55,861
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...