Malware móvil XploitSpy
Una nueva campaña de malware para Android, denominada eXotic Visit, se ha dirigido activamente a usuarios del sur de Asia, particularmente en India y Pakistán. Esta campaña ha estado distribuyendo malware a través de sitios web especializados y Google Play Store.
Los investigadores han estado monitoreando esta campaña desde noviembre de 2021 y no han encontrado ninguna conexión con ningún actor o grupo de amenazas conocido. Han etiquetado al grupo detrás de esto como Virtual Invaders.
Las aplicaciones amenazantes descargadas de estas fuentes ofrecen funcionalidad legítima pero también contienen código del Android XploitSPY RAT de código abierto. Esta campaña parece muy enfocada, ya que las aplicaciones en Google Play tienen muy pocas instalaciones, entre cero y 45. Como resultado de los hallazgos de la investigación, estas aplicaciones se eliminaron de la plataforma.
Tabla de contenido
La operación de ataque aprovechó numerosas aplicaciones falsas
Las aplicaciones engañosas seguían funcionando y se hacían pasar principalmente por plataformas de mensajería como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat. Se informa que alrededor de 380 personas han sido víctimas de la descarga de estas aplicaciones y la creación de cuentas, con la intención de utilizarlas para enviar mensajes.
Además, como parte de la campaña eXotic Visit, se utilizan aplicaciones como Sim Info y Telco DB. Estas aplicaciones afirman ofrecer información sobre los propietarios de tarjetas SIM simplemente ingresando un número de teléfono de Pakistán. Además, otras aplicaciones pretenden ser un servicio de entrega de alimentos en Pakistán y un hospital indio legítimo conocido como Specialist Hospital (ahora rebautizado como Trilife Hospital).
El malware móvil XploitSpy posee una amplia gama de funciones intrusivas
XploitSPY, subido inicialmente a GitHub en abril de 2020 por un usuario llamado RaoMK, tiene vínculos con una empresa india de soluciones de ciberseguridad llamada XploitWizer. Ha sido identificado como un derivado de otro troyano de código abierto para Android llamado L3MON, que a su vez está inspirado en AhMyth.
Este malware cuenta con una amplia gama de capacidades que le permiten recopilar datos confidenciales de dispositivos comprometidos. Puede recopilar ubicaciones de GPS, grabar audio desde el micrófono, acceder a contactos, mensajes SMS, registros de llamadas y contenidos del portapapeles. También es capaz de extraer detalles de notificaciones de aplicaciones populares como WhatsApp, Facebook, Instagram y Gmail, así como descargar y cargar archivos, ver aplicaciones instaladas y ejecutar comandos en cola.
Además, las aplicaciones dañinas están programadas para tomar fotografías y enumerar archivos de directorios específicos asociados con capturas de pantalla, WhatsApp, WhatsApp Business, Telegram y una versión modificada de WhatsApp conocida como GBWhatsApp.
Los atacantes muestran un mayor énfasis en el sigilo
A lo largo de los años, estos actores de amenazas han personalizado su código dañino agregando ofuscación, detección de emuladores, ocultación de direcciones C2 y uso de una biblioteca nativa. El objetivo principal de la biblioteca nativa 'defcome-lib.so' es mantener la información del servidor C2 codificada y oculta a las herramientas de análisis estático. Si se detecta un emulador, la aplicación utiliza un servidor C2 falso para evadir la detección.
Algunas de las aplicaciones se han propagado a través de sitios web creados específicamente para este propósito, 'chitchat.ngrok.io', que proporciona un enlace a un archivo de paquete de Android, 'ChitChat.apk' alojado en GitHub. Actualmente no está claro cómo se dirige a las víctimas a estas aplicaciones.
Los investigadores afirman que la distribución comenzó en sitios web dedicados y luego incluso se trasladó a la tienda oficial Google Play. El objetivo de la campaña es el espionaje y probablemente tendrá como objetivo víctimas en Pakistán y la India.
