Logiciel malveillant mobile XploitSpy
Une nouvelle campagne de malware Android, baptisée eXotic Visit, cible activement les utilisateurs d'Asie du Sud, notamment en Inde et au Pakistan. Cette campagne diffuse des logiciels malveillants via des sites Web spécialisés et le Google Play Store.
Les chercheurs surveillent cette campagne depuis novembre 2021 et n’ont trouvé aucun lien avec un acteur ou un groupe menaçant connu. Ils ont qualifié le groupe derrière cela de Virtual Invaders.
Les applications menaçantes téléchargées à partir de ces sources offrent des fonctionnalités légitimes mais contiennent également du code du RAT open source Android XploitSPY. Cette campagne semble très ciblée, les applications sur Google Play ayant très peu d'installations, allant de zéro à 45. À la suite des résultats de la recherche, ces applications ont été supprimées de la plateforme.
Table des matières
L’opération d’attaque a exploité de nombreuses fausses applications
Les applications trompeuses étaient toujours fonctionnelles et se présentaient principalement comme des plateformes de messagerie telles que Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger et Zaangi Chat. On rapporte qu'environ 380 personnes ont été victimes du téléchargement de ces applications et de la création de comptes, dans l'intention de les utiliser pour la messagerie.
De plus, dans le cadre de la campagne eXotic Visit, des applications telles que Sim Info et Telco DB sont utilisées. Ces applications prétendent offrir des informations sur les propriétaires de cartes SIM en saisissant simplement un numéro de téléphone basé au Pakistan. En outre, d'autres applications prétendent être un service de livraison de nourriture au Pakistan et un hôpital indien légitime connu sous le nom d'hôpital spécialisé (maintenant rebaptisé Trilife Hospital).
XploitSpy Mobile Malware possède un large éventail de fonctions intrusives
XploitSPY, initialement téléchargé sur GitHub dès avril 2020 par un utilisateur nommé RaoMK, a des liens avec une société indienne de solutions de cybersécurité appelée XploitWizer. Il a été identifié comme un dérivé d'un autre cheval de Troie Android open source appelé L3MON, lui-même inspiré d'AhMyth.
Ce malware dispose d'un large éventail de fonctionnalités lui permettant de collecter des données sensibles à partir d'appareils compromis. Il peut collecter des positions GPS, enregistrer l'audio du microphone, accéder aux contacts, aux messages SMS, aux journaux d'appels et au contenu du presse-papiers. Il est également capable d'extraire les détails des notifications d'applications populaires telles que WhatsApp, Facebook, Instagram et Gmail, ainsi que de télécharger et télécharger des fichiers, d'afficher les applications installées et d'exécuter des commandes en file d'attente.
De plus, les applications nuisibles sont programmées pour prendre des photos et énumérer des fichiers provenant de répertoires spécifiques associés à des captures d'écran, WhatsApp, WhatsApp Business, Telegram et une version modifiée de WhatsApp connue sous le nom de GBWhatsApp.
Les attaquants mettent davantage l’accent sur la furtivité
Au fil des années, ces acteurs malveillants ont personnalisé leur code dommageable en ajoutant l'obscurcissement, la détection d'émulateur, le masquage des adresses C2 et l'utilisation d'une bibliothèque native. L'objectif principal de la bibliothèque native 'defcome-lib.so' est de garder les informations du serveur C2 codées et cachées des outils d'analyse statique. Si un émulateur est détecté, l'application utilise un faux serveur C2 pour échapper à la détection.
Certaines applications ont été propagées via des sites Web spécialement créés à cet effet, « chitchat.ngrok.io », qui fournissent un lien vers un fichier de package Android, « ChitChat.apk » hébergé sur GitHub. On ne sait pas encore clairement comment les victimes sont dirigées vers ces applications.
Les chercheurs affirment que la distribution a commencé sur des sites Web dédiés, puis s'est même déplacée vers la boutique officielle Google Play. Le but de la campagne est l'espionnage et elle ciblera probablement des victimes au Pakistan et en Inde.
