- eXotic Visit est une campagne d’espionnage qui cible l'Asie du Sud.
- Sur Android, les logiciels malveillants imitent des applications de messagerie.
- Ces fausses applications sont disponibles sur des sites Web et Google Play.
- Les applications contiennent du code d’Android XploitSPY RAT (open source).
- Les auteurs ont adapté leur code en y ajoutant de l'obfuscation.
- ESET Research ne peut attribuer en l’état cette campagne à un groupe spécifique.
Les chercheurs d'ESET ont identifié une campagne d'espionnage ciblant des utilisateurs d'Android au moyen d’applications se présentant principalement comme des services de messagerie. Bien que ces applications offrent des fonctionnalités apparemment légitimes, elles sont en réalité associées au logiciel malveillant open source XploitSPY. Les applications Android malveillantes ont été diffusées à travers des sites Web dédiés ainsi que sur le Google Play Store. Cette campagne, nommée eXotic Visit par ESET, a été suivie de novembre 2021 à fin 2023. Elle semble principalement cibler un groupe restreint d'utilisateurs Android au Pakistan et en Inde. En raison de ce ciblage spécifique, les applications disponibles sur Google Play ont été peu téléchargées (entre zéro et 45) et ont toutes été retirées du magasin. Les informations recueillies ne permettent pas pour le moment à ESET d’attribuer cette attaque à un groupe précis.
Les applications nommées Dink Messenger, Sim Info et Defcom ont été retirées du Google Play. Partenaire de la Google App Defense Alliance, ESET a notifié Google à la suite de la découverte de dix autres applications qui utilisent du code émanant d’XploitSPY. Au total, environ 380 individus ont été affectés par ces applications. Celles-ci furent téléchargées depuis divers sites Web et le Google Play Store.
Les applications reposant sur XploitSPY peuvent extraire des listes de contacts ; récupérer les données de géolocalisation. Elles peuvent accéder aux noms de fichiers stockés dans des répertoires spécifiques liés à diverses applications de messagerie telles que Telegram et WhatsApp, ainsi qu'à ceux associés à l'appareil photo et aux téléchargements. En cas d'identification de noms de fichiers pertinents, ces derniers sont extraits des répertoires via une demande du serveur de commande et de contrôle (C&C). ESET note qu’une fonctionnalité de chat est apparue dans XploitSPY, celle-ci est unique, suggérant fortement que cette fonction a été développée par le groupe d'attaquants.
Le malware exploite également une bibliothèque système, fréquemment employée dans le développement d'applications Android, pour optimiser leurs performances et accéder aux fonctionnalités du système. Cependant, dans ce contexte, cette bibliothèque est exploitée pour masquer des informations sensibles, telles que les adresses des serveurs C&C, compliquant ainsi l'analyse de l'application par les outils de sécurité.
XploitSPY est largement disponible et des versions personnalisées ont été utilisées par de nombreux acteurs malveillants, notamment le groupe APT Transparent Tribe. Toutefois, les modifications observées dans les applications sont spécifiques et se distinguent des variantes précédemment.
Chronologie des applications reposant sur XploitSPY
Contact Presse :
Laura PACCAGNELLA : +33 01 55 89 08 88 - laura.p@eset-nod32.fr
Ines KHELIFI : +33 01 55 89 29 30 - ines.k@eset-nod32.fr
À propos d'ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique pour protéger le patrimoine numérique des entreprises, les infrastructures critiques et les consommateurs du monde entier contre des cybermenaces. Nous protégeons les terminaux fixes et mobiles, les outils collaboratifs et assurons la détection et le traitement des incidents. Établit dans le monde entier, nos centres de R&D récoltent et analysent les cybermenaces pour protéger nos clients et notre monde numérique.
Pour plus d’informations, consultez www.eset.com/na
et suivez-nous sur LinkedIn, Facebook et Instagram.