Malware móvil XploitSpy implementado contra víctimas del sur de Asia

Una reciente campaña de malware para Android conocida como eXotic Visit se ha dirigido principalmente a usuarios del sur de Asia, particularmente en India y Pakistán. El malware se propaga a través de sitios web dedicados y Google Play Store. Una empresa de ciberseguridad ha estado monitoreando esta campaña, que está activa desde noviembre de 2021, pero no han podido identificar a los perpetradores. Han apodado al grupo detrás de esto como Virtual Invaders.

Según un informe técnico, las aplicaciones infectadas con malware parecen ofrecer funciones legítimas pero también contienen código del Android XploitSPY RAT de código abierto. La campaña está muy enfocada, con un número de instalaciones de aplicaciones infectadas en Google Play que oscilan entre cero y 45 antes de ser eliminadas.

Paquetes maliciosos que se hacen pasar por aplicaciones sociales

Las aplicaciones engañosas se hacen pasar por servicios de mensajería como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat. Se informa que alrededor de 380 usuarios descargaron estas aplicaciones, creyendo que eran plataformas de mensajería genuinas.

Además de las aplicaciones de mensajería, otras aplicaciones engañosas incluyen Sim Info y Telco DB, que afirman proporcionar detalles sobre los propietarios de tarjetas SIM ingresando un número de teléfono basado en Pakistán. Algunas aplicaciones también pretenden ser un servicio de pedidos de comida en Pakistán y un hospital indio legítimo (ahora rebautizado como Trilife Hospital).

XploitSPY, que apareció por primera vez en GitHub en abril de 2020, está vinculado a una empresa india de ciberseguridad llamada XploitWizer. Se considera un derivado de otro troyano de código abierto para Android llamado L3MON, que a su vez se inspira en AhMyth.

Capacidades de XploitSpy

El malware es capaz de recopilar diversos datos confidenciales de dispositivos infectados, incluidas ubicaciones de GPS, grabaciones de micrófonos, contactos, mensajes SMS, registros de llamadas y contenidos del portapapeles. También puede acceder a detalles de notificaciones de aplicaciones populares como WhatsApp, Facebook, Instagram y Gmail, descargar/cargar archivos, ver aplicaciones instaladas y ejecutar comandos.

Para evitar la detección, las aplicaciones maliciosas utilizan técnicas de ofuscación, detección de emuladores, ocultan direcciones de comando y control y utilizan una biblioteca nativa llamada "defcome-lib.so" para codificar y ocultar información del servidor C2. Si se detecta un emulador, la aplicación cambia a un servidor C2 falso para evadir la detección.

Algunas de estas aplicaciones se distribuyen a través de sitios web específicos creados para este propósito, como "chitchat.ngrok[.]io", que proporciona un enlace para descargar el archivo del paquete de Android ("ChitChat.apk") alojado en GitHub. Sin embargo, no está claro cómo se dirige a las víctimas a estas aplicaciones maliciosas.