XploitSpy Mobile Malware utilizzato contro le vittime dell'Asia meridionale

Una recente campagna malware per Android nota come eXotic Visit ha preso di mira prevalentemente utenti dell'Asia meridionale, in particolare India e Pakistan. Il malware si sta diffondendo attraverso siti Web dedicati e Google Play Store. Una società di sicurezza informatica ha monitorato questa campagna, attiva da novembre 2021, ma non è riuscita a identificare gli autori. Hanno soprannominato il gruppo dietro di esso Virtual Invaders.

Secondo un rapporto tecnico, le app infettate da malware sembrano offrire funzioni legittime ma contengono anche codice del software open source Android XploitSPY RAT. La campagna è molto mirata, con un numero di installazioni delle app infette su Google Play che va da zero a 45 prima che venissero rimosse.

Pacchetti dannosi mascherati da app social

Le app ingannevoli si presentano come servizi di messaggistica come Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger e Zaangi Chat. Si dice che circa 380 utenti abbiano scaricato queste app, ritenendole vere e proprie piattaforme di messaggistica.

Oltre alle app di messaggistica, altre app ingannevoli includono Sim Info e Telco DB, che affermano di fornire dettagli sui proprietari della carta SIM inserendo un numero di telefono con sede in Pakistan. Alcune app fingono anche di essere un servizio di ordinazione di cibo in Pakistan e un legittimo ospedale indiano (ora rinominato Trilife Hospital).

XploitSPY, apparso per la prima volta su GitHub nell'aprile 2020, è collegato a una società indiana di sicurezza informatica chiamata XploitWizer. È considerato un derivato di un altro trojan Android open source chiamato L3MON, che a sua volta trae ispirazione da AhMyth.

Funzionalità di XploitSpy

Il malware è in grado di raccogliere vari dati sensibili dai dispositivi infetti, tra cui posizioni GPS, registrazioni del microfono, contatti, messaggi SMS, registri delle chiamate e contenuto degli appunti. Può anche accedere ai dettagli delle notifiche da app popolari come WhatsApp, Facebook, Instagram e Gmail, scaricare/caricare file, visualizzare le app installate ed eseguire comandi.

Per evitare il rilevamento, le app dannose utilizzano tecniche di offuscamento, rilevamento dell'emulatore, nascondono indirizzi di comando e controllo e utilizzano una libreria nativa chiamata "defcome-lib.so" per codificare e nascondere le informazioni del server C2. Se viene rilevato un emulatore, l'app passa a un falso server C2 per eludere il rilevamento.

Alcune di queste app sono distribuite attraverso siti Web specifici creati per questo scopo, come "chitchat.ngrok[.]io", che fornisce un collegamento per scaricare il file del pacchetto Android ("ChitChat.apk") ospitato su GitHub. Tuttavia, non è chiaro in che modo le vittime vengano indirizzate a queste app dannose.