Campanha de Spyware "eXotic Visit" Mira Usuários Android na Índia e Paquistão
11 de Abril de 2024

Uma campanha ativa de malware para Android, batizada de eXotic Visit, vem mirando principalmente usuários na Ásia do Sul, em especial na Índia e no Paquistão, com malware distribuído através de websites dedicados e pela Google Play Store.

A firma eslovaca de cibersegurança afirmou que a atividade, que está em andamento desde novembro de 2021, não está vinculada a nenhum ator ou grupo de ameaças conhecido.

Está rastreando o grupo por trás da operação sob o nome Virtual Invaders.

"Os apps baixados oferecem funcionalidade legítima, mas também incluem código do Android XploitSPY RAT de código-aberto," disse o pesquisador de segurança da ESET, Lukáš Štefanko, em um relatório técnico divulgado hoje.

Diz-se que a campanha é altamente direcionada, com os apps disponíveis no Google Play tendo um número negligenciável de instalações, variando de zero a 45.

Os apps desde então foram removidos.

Os apps falsos, mas funcionais, se disfarçam principalmente como serviços de mensagens como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger e Zaangi Chat.

Aproximadamente 380 vítimas baixaram os apps e criaram contas para usá-los para fins de mensageria.

Também empregados como parte do eXotic Visit são apps como Sim Info e Telco DB, ambos alegando fornecer detalhes sobre proprietários de SIM simplesmente ao inserir um número de telefone baseado no Paquistão.

Outras aplicações se passam por um serviço de pedido de comida no Paquistão, bem como um hospital indiano legítimo chamado Specialist Hospital (agora renomeado como Trilife Hospital).

XploitSPY, carregado no GitHub logo em abril de 2020 por um usuário chamado RaoMK, é associado a uma empresa indiana de soluções em cibersegurança chamada XploitWizer.

Também foi descrito como um fork de outro trojan Android de código-aberto chamado L3MON, que, por sua vez, se inspira no AhMyth.

Ele vem com uma ampla gama de funcionalidades que permitem coletar dados sensíveis dos dispositivos infectados, tais como localizações GPS, gravações de microfone, contatos, mensagens SMS, registros de chamadas e conteúdo da área de transferência; extrair detalhes de notificação de apps como WhatsApp, Facebook, Instagram e Gmail; baixar e subir arquivos; visualizar apps instalados; e enfileirar comandos.

Além disso, os apps maliciosos são projetados para tirar fotos e enumerar arquivos em vários diretórios relacionados a screenshots, WhatsApp, WhatsApp Business, Telegram e um mod não oficial do WhatsApp conhecido como GBWhatsApp.

"Ao longo dos anos, esses atores de ameaças customizaram seu código malicioso adicionando ofuscação, detecção de emulador, ocultação de endereços [de comando-e-controle] e uso de uma biblioteca nativa," disse Štefanko.

O principal propósito da biblioteca nativa ("defcome-lib.so") é manter as informações do servidor C2 codificadas e ocultas de ferramentas de análise estática.

Se um emulador é detectado, o app faz uso de um servidor C2 falso para evadir detecção.

Alguns dos apps foram propagados através de websites criados especificamente para esse propósito ("chitchat.ngrok[.]io") que fornecem um link para um arquivo de pacote Android ("ChitChat.apk") hospedado no GitHub.

Atualmente, não está claro como as vítimas são direcionadas a esses apps.

"A distribuição começou em websites dedicados e depois até migrou para a loja oficial Google Play," concluiu Štefanko.

"O propósito da campanha é espionagem e provavelmente está mirando vítimas no Paquistão e na Índia."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...