ESET Research a découvert une campagne d’espionnage baptisée eXotic Visit qui utilise de fausses applications de messagerie pour cibler des utilisateurs d’Android au Pakistan et en Inde.
Ces applications malveillantes, téléchargeables depuis des sites Web et le Google Play Store, imitent des services de messagerie populaires. Elles contiennent du code provenant du RAT (Remote Access Tool) open source XploitSPY et permettent aux attaquants de voler des données sensibles.
Fonctionnement des applications malveillantes :
Apparence trompeuse : Les applications se présentent comme des services de messagerie légitimes, tels que Dink Messenger, Sim Info et Defcom.
Collecte de données : Les applications collectent diverses informations sensibles, y compris les contacts, la localisation, les fichiers stockés sur l’appareil et les photos.
Communication cachée : Les données volées sont envoyées à un serveur de commande et de contrôle (C&C) via une fonction de chat intégrée au malware.
Dissimulation : Les applications utilisent une bibliothèque système pour masquer les informations sensibles et compliquer l’analyse par les outils de sécurité.
Impact de la campagne :
Nombre de victimes : Environ 380 utilisateurs ont été affectés par les applications malveillantes.
Suppression des applications : Les applications malveillantes ont été retirées du Google Play Store, mais elles étaient déjà téléchargées par un nombre inconnu d’utilisateurs.
Points clés :
Cible : La campagne semble cibler un groupe restreint d’utilisateurs dans des pays spécifiques.
Origine : Le groupe responsable de la campagne n’a pas encore été identifié.
Similitudes : Le malware XploitSPY a déjà été utilisé par d’autres groupes malveillants, mais les versions employées dans cette campagne présentent des modifications spécifiques.
