Le logiciel malveillant XploitSpy Mobile déployé contre les victimes d'Asie du Sud

Une récente campagne de malware Android connue sous le nom d'eXotic Visit cible principalement les utilisateurs d'Asie du Sud, notamment en Inde et au Pakistan. Le malware se propage via des sites Web dédiés et le Google Play Store. Une société de cybersécurité surveille cette campagne, active depuis novembre 2021, mais n'a pas pu identifier les auteurs. Ils ont surnommé le groupe derrière cela Virtual Invaders.

Selon un rapport technique, les applications infectées par des logiciels malveillants semblent offrir des fonctions légitimes mais contiennent également du code du RAT open source Android XploitSPY. La campagne est très ciblée, le nombre d'installations des applications infectées sur Google Play allant de zéro à 45 avant leur suppression.

Packages malveillants se faisant passer pour des applications sociales

Les applications trompeuses se font passer pour des services de messagerie comme Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger et Zaangi Chat. Environ 380 utilisateurs auraient téléchargé ces applications, les considérant comme de véritables plateformes de messagerie.

Outre les applications de messagerie, d'autres applications trompeuses incluent Sim Info et Telco DB, qui prétendent fournir des détails sur les propriétaires de cartes SIM en saisissant un numéro de téléphone basé au Pakistan. Certaines applications prétendent également être un service de commande de nourriture au Pakistan et un hôpital indien légitime (maintenant rebaptisé Trilife Hospital).

XploitSPY, apparu pour la première fois sur GitHub en avril 2020, est lié à une société indienne de cybersécurité appelée XploitWizer. Il est considéré comme un dérivé d'un autre cheval de Troie Android open source appelé L3MON, qui s'inspire lui-même d'AhMyth.

Capacités de XploitSpy

Le malware est capable de collecter diverses données sensibles à partir d'appareils infectés, notamment les emplacements GPS, les enregistrements de microphone, les contacts, les messages SMS, les journaux d'appels et le contenu du presse-papiers. Il peut également accéder aux détails des notifications d'applications populaires telles que WhatsApp, Facebook, Instagram et Gmail, télécharger/télécharger des fichiers, afficher les applications installées et exécuter des commandes.

Pour éviter d'être détectés, les applications malveillantes utilisent des techniques d'obscurcissement, la détection d'émulateurs, masquent les adresses de commande et de contrôle et utilisent une bibliothèque native appelée « defcome-lib.so » pour coder et masquer les informations du serveur C2. Si un émulateur est détecté, l'application passe à un faux serveur C2 pour échapper à la détection.

Certaines de ces applications sont distribuées via des sites Web spécifiques créés à cet effet, comme « chitchat.ngrok[.]io », qui fournit un lien pour télécharger le fichier du package Android (« ChitChat.apk ») hébergé sur GitHub. Cependant, on ne sait pas clairement comment les victimes sont dirigées vers ces applications malveillantes.