10 de abril de 2024Sala de prensaSeguridad móvil/Spyware Una campaña activa de malware para Android denominada eXotic Visit se ha dirigido principalmente a usuarios del sur de Asia, en particular a los de India y Pakistán, con malware distribuido a través de sitios web dedicados y Google Play Store. La empresa eslovaca de ciberseguridad dijo que la actividad, en curso desde noviembre de 2021, no está vinculada a ningún actor o grupo de amenazas conocido. Está rastreando al grupo detrás de la operación bajo el nombre de Virtual Invaders. «Las aplicaciones descargadas proporcionan una funcionalidad legítima, pero también incluyen código del Android XploitSPY RAT de código abierto», afirmó el investigador de seguridad de ESET, Lukáš Štefanko, en un informe técnico publicado hoy. Se dice que la campaña es de naturaleza muy específica, ya que las aplicaciones disponibles en Google Play tienen un número insignificante de instalaciones que oscilan entre cero y 45. Desde entonces, las aplicaciones han sido eliminadas. Las aplicaciones falsas pero funcionales se hacen pasar principalmente por servicios de mensajería como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat. Se dice que aproximadamente 380 víctimas descargaron las aplicaciones y crearon cuentas para usarlas con fines de mensajería. También se emplean como parte de eXotic Visit aplicaciones como Sim Info y Telco DB, las cuales afirman proporcionar detalles sobre los propietarios de tarjetas SIM simplemente ingresando un número de teléfono con sede en Pakistán. Otras aplicaciones se hacen pasar por un servicio de pedidos de alimentos en Pakistán, así como por un hospital indio legítimo llamado Specialist Hospital (ahora rebautizado como Trilife Hospital). XploitSPY, subido a GitHub en abril de 2020 por un usuario llamado RaoMK, está asociado con una empresa india de soluciones de seguridad cibernética llamada XploitWizer. También se ha descrito como una bifurcación de otro troyano de código abierto para Android llamado L3MON, que, a su vez, se inspira en AhMyth. Viene con una amplia gama de funciones que le permiten recopilar datos confidenciales de dispositivos infectados, como ubicaciones GPS, grabaciones de micrófonos, contactos, mensajes SMS, registros de llamadas y contenido del portapapeles; extraer detalles de notificaciones de aplicaciones como WhatsApp, Facebook, Instagram y Gmail; descargar y cargar archivos; ver aplicaciones instaladas; y comandos de cola. Además de eso, las aplicaciones maliciosas están diseñadas para tomar fotografías y enumerar archivos en varios directorios relacionados con capturas de pantalla, WhatApp, WhatsApp Business, Telegram y un mod no oficial de WhatsApp conocido como GBWhatsApp. «A lo largo de los años, estos actores de amenazas han personalizado su código malicioso agregando ofuscación, detección de emuladores, ocultación de [command-and-control] direcciones y uso de una biblioteca nativa», dijo Štefanko. El objetivo principal de la biblioteca nativa («defcome-lib.so») es mantener la información del servidor C2 codificada y oculta de las herramientas de análisis estático. Si se detecta un emulador, La aplicación utiliza un servidor C2 falso para evadir la detección. Algunas de las aplicaciones se han propagado a través de sitios web creados específicamente para este propósito («chitchat.ngrok[.]io») que proporcionan un enlace a un archivo de paquete de Android («ChitChat.apk») alojado en GitHub. Actualmente no está claro cómo se dirige a las víctimas a estas aplicaciones. «La distribución comenzó en sitios web dedicados y luego incluso se trasladó al Google Play oficial. tienda», concluyó Štefanko. «El propósito de la campaña es el espionaje y probablemente esté dirigido a víctimas en Pakistán e India». ¿Le pareció interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.