Spywarecampagne 'eXotic Visit' richt zich op Android-gebruikers in India en Pakistan

Een actieve Android-malwarecampagne genaamd eXotic Visit richtte zich voornamelijk op gebruikers in Zuid-Azië, met name die in India en Pakistan, waarbij malware werd verspreid via speciale websites en de Google Play Store.

Het Slowaakse cyberbeveiligingsbedrijf zei dat de activiteit, die sinds november 2021 aan de gang is, geen verband houdt met een bekende dreigingsactoren of -groep. Het volgt de groep achter de operatie onder de naam Virtuele indringers.

“Gedownloade apps bieden legitieme functionaliteit, maar bevatten ook code van de open-source Android XploitSPY RAT”, zegt ESET-beveiligingsonderzoeker Lukáš Štefanko in een vandaag vrijgegeven technisch rapport.

Er wordt gezegd dat de campagne zeer doelgericht van aard is, waarbij de apps die beschikbaar zijn op Google Play een verwaarloosbaar aantal installaties hebben, variërend van nul tot 45. De apps zijn inmiddels verwijderd.

Cyberbeveiliging

De nep-maar-functionele apps doen zich vooral voor als berichtendiensten zoals Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger en Zangi Chat. Ongeveer 380 slachtoffers zouden de apps hebben gedownload en accounts hebben aangemaakt om deze voor berichtendoeleinden te gebruiken.

Ook gebruikt als onderdeel van eXotic Visit zijn apps zoals Sim Info en Telco DB, die beide beweren details over simkaarten te verstrekken door simpelweg een in Pakistan gevestigd telefoonnummer in te voeren. Andere toepassingen doen zich voor als een dienst voor het bestellen van eten in Pakistan, evenals als een legitiem Indiaas ziekenhuis genaamd Specialist Hospital (nu omgedoopt tot Trilife Hospital).

eXotic Bezoek Malware

XploitSPY, geüpload al in april 2020 aan GitHub toegevoegd door een gebruiker genaamd RaoMK, is geassocieerd met een Indiaas bedrijf voor cyberbeveiligingsoplossingen genaamd XploitWizer. Het is ook beschreven als een vork van een andere open-source Android-trojan genaamd L3MON, die op zijn beurt inspiratie haalt uit AhMyth.

Het wordt geleverd met een breed scala aan functies waarmee het gevoelige gegevens van geïnfecteerde apparaten kan verzamelen, zoals GPS-locaties, microfoonopnamen, contacten, sms-berichten, oproeplogboeken en klembordinhoud; notificatiegegevens extraheren uit apps zoals WhatsApp, Facebook, Instagram en Gmail; bestanden downloaden en uploaden; bekijk geïnstalleerde apps; en wachtrijopdrachten.

Bovendien zijn de kwaadaardige apps ontworpen om foto's te maken en bestanden op te sommen in verschillende mappen die verband houden met screenshots, WhatApp, WhatsApp Business, Telegram en een onofficiële WhatsApp-mod bekend als GBWhatsApp.

Cyberbeveiliging

“Door de jaren heen hebben deze bedreigingsactoren hun kwaadaardige code aangepast door verduistering, emulatordetectie en het verbergen van informatie toe te voegen. [command-and-control] adressen en het gebruik van een eigen bibliotheek”, zei Štefanko.

Het belangrijkste doel van de eigen bibliotheek (“defcome-lib.so”) is om de C2-serverinformatie gecodeerd en verborgen te houden voor statische analysehulpmiddelen. Als er een emulator wordt gedetecteerd, maakt de app gebruik van een nep-C2-server om detectie te omzeilen.

Sommige apps zijn verspreid via websites die speciaal voor dit doel zijn gemaakt (“chitchat.ngrok[.]io”) die een link bieden naar een Android-pakketbestand (“ChitChat.apk”) dat op GitHub wordt gehost. Het is momenteel niet duidelijk hoe slachtoffers naar deze apps worden geleid.

“De distributie begon op speciale websites en verhuisde vervolgens zelfs naar de officiële Google Play Store”, concludeerde Štefanko. “Het doel van de campagne is spionage en richt zich waarschijnlijk op slachtoffers in Pakistan en India.”

Thijs Van der Does