Исследователи из ESET обнаружили активную кампанию по шпионажу под названием eXotic Visit, которая направлена на пользователей Android в Индии и Пакистане. Кампания использует приложения, маскирующиеся под службы обмена сообщениями, однако эти приложения содержат вредоносное ПО XploitSPY с открытым исходным кодом. Кампания началась в конце 2021 года и продолжалась до конца 2023 года.
Вредоносные приложения распространялись через специальные веб-сайты и Google Play, однако из-за целенаправленности кампании количество установок в магазине Google Play было маленьким. Пока нет информации о том, к какой известной группе может быть связана эта кампания, но исследователи следят за ней под названием Virtual Invaders.
По данным исследования, около 380 жертв загрузили вредоносные приложения из специальных веб-сайтов и Google Play. Вредоносные приложения обладают легитимной функциональностью, но содержат код вредоносной программы XploitSPY, который может извлекать информацию о контактах, файлы, GPS-положение устройства и другую информацию. Они также используют нативные библиотеки для сокрытия конфиденциальной информации, что затрудняет анализ приложений безопасности. Интересно отметить, что функция чата, интегрированная в XploitSPY, уникальна и, вероятно, разработана группой Virtual Invaders.
Исследователи ESET также отмечают, что они сообщили Google о найденных вредоносных приложениях и Google удалил их из магазина. Каждое из этих приложений имело небольшое количество установок, что свидетельствует о целенаправленности атаки. В ходе исследования был проведен анализ различных инкарнаций XploitSPY, а также была определена хронология развития кампании eXotic Visit.
Кампания eXotic Visit представляет серьезную угрозу для пользователей Android в Индии и Пакистане. Вредоносные приложения, распространяемые через специальные веб-сайты и Google Play, маскируются под службы обмена сообщениями, чтобы привлечь потенциальных жертв. Информация, извлекаемая с помощью вредоносных приложений, может быть использована злоумышленниками для шпионажа и кражи конфиденциальных данных. Пока нет информации о том, кто стоит за этой кампанией, исследователи продолжают отслеживать группу Virtual Invaders, связанную с активностью eXotic Visit. Пользователям рекомендуется быть осторожными при скачивании приложений и устанавливать только приложения из надежных источников.
Indicators of Compromise
IPv4
- 195.133.18.26
- 3.13.191.225
- 3.131.123.134
- 3.141.160.179
- 3.22.30.40
Domains
- 3.tcp.ngrok.io
- chitchat.ngrok.io
- letchitchat.info
- phpdownload.ngrok.io
- wetalk.ngrok.io
- zee.xylonn.com
SHA1
- 0d9f42ce346090f7957ca206e5dc5a393fb3513f
- 17fcee9a54ad174af9713e39c187c91e31162a2f
- 3f0d58a6ba8c0518c8df1567ed9761dc9bdc6c77
- 4b8d6b33f3704bda0e69368c18b7e218cb7970ee
- 50b896e999fa96b5aebda7fe8e28e116b1760ed5
- 6b71d58f8247ffe71ac4edfd363e79ee89eddc21
- 706e4e701a9a2d42ef35c08975c79204a73121dc
- 7282aed684fb1706f026aa85461fb852891c8849
- 7c7896613eb6b54b9e9aad5c19acc7bf239134d4
- 7d50486c150e9e4308d76a6bf81788766292ae55
- 89109bcc3ec5b8ec1dc9c4226338aecdbe4d8da4
- 991e820274aa02024d4531581ea7ec6a801c38fa
- 9a92224a0bef9efed0278b70300c8acc4f7e0d8e
- a17f77c0f98613bf349b038b9bc353082349c7aa
- a7ab289b61353b6322272c4e7a4c19f49cb799d7
- a92e3601328cd9af3a697b5b09e7ef20edc79f8e
- b58c18db32b72e6c005494de166c291761518e54
- bb28ce23b3387de43efb08575650a23e32d861b6
- c9ae3cd4c3742cc3353af353f96f5c9e8c663734
- fa6624f80be92406a397b813828b9275c39bcf75