Malware móvel XploitSpy implantado contra vítimas do sul da Ásia

Uma recente campanha de malware para Android conhecida como eXotic Visit tem como alvo predominantemente usuários no Sul da Ásia, particularmente na Índia e no Paquistão. O malware está sendo espalhado por sites dedicados e pela Google Play Store. Uma empresa de cibersegurança tem monitorizado esta campanha, que está ativa desde novembro de 2021, mas não conseguiu identificar os autores. Eles apelidaram o grupo por trás disso de Invasores Virtuais.

De acordo com um relatório técnico, os aplicativos infectados por malware parecem oferecer funções legítimas, mas também contêm código do Android XploitSPY RAT de código aberto. A campanha é altamente focada, com o número de instalações de aplicativos infectados no Google Play variando de zero a 45 antes de serem removidos.

Pacotes maliciosos disfarçados de aplicativos sociais

Os aplicativos enganosos se apresentam como serviços de mensagens como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger e Zaangi Chat. Cerca de 380 usuários baixaram esses aplicativos, acreditando que eram plataformas de mensagens genuínas.

Além dos aplicativos de mensagens, outros aplicativos enganosos incluem Sim Info e Telco DB, que afirmam fornecer detalhes sobre os proprietários de cartões SIM inserindo um número de telefone baseado no Paquistão. Alguns aplicativos também fingem ser um serviço de pedidos de comida no Paquistão e um hospital indiano legítimo (agora rebatizado como Hospital Trilife).

O XploitSPY, que apareceu pela primeira vez no GitHub em abril de 2020, está vinculado a uma empresa indiana de segurança cibernética chamada XploitWizer. É considerado um derivado de outro trojan Android de código aberto chamado L3MON, que se inspira no AhMyth.

Capacidades do XploitSpy

O malware é capaz de coletar vários dados confidenciais de dispositivos infectados, incluindo localizações de GPS, gravações de microfones, contatos, mensagens SMS, registros de chamadas e conteúdo da área de transferência. Ele também pode acessar detalhes de notificação de aplicativos populares como WhatsApp, Facebook, Instagram e Gmail, baixar/carregar arquivos, visualizar aplicativos instalados e executar comandos.

Para evitar a detecção, os aplicativos maliciosos usam técnicas de ofuscação, detecção de emulador, ocultam endereços de comando e controle e utilizam uma biblioteca nativa chamada "defcome-lib.so" para codificar e ocultar informações do servidor C2. Se um emulador for detectado, o aplicativo muda para um servidor C2 falso para evitar a detecção.

Alguns desses aplicativos são distribuídos por meio de sites específicos criados para esse fim, como "chitchat.ngrok[.]io", que fornece um link para baixar o arquivo do pacote Android ("ChitChat.apk") hospedado no GitHub. No entanto, não está claro como as vítimas são direcionadas para esses aplicativos maliciosos.