Una nueva campaña de Spyware denominada «eXotic Visit» ha emergido, apuntando específicamente a usuarios de dispositivos Android en India y Pakistán. Distribuido a través de sitios web especializados y la Google Play Store.
Según investigadores de la firma de seguridad informática eslovaca ESET, eXotic Visit ha estado activo desde noviembre de 2021. A diferencia de muchas otras campañas de malware, no se ha identificado una conexión directa entre esta actividad y algún actor o grupo de amenazas conocido previamente. Por ello, los investigadores han bautizado al grupo detrás de esta operación como «Virtual Invaders».
Las aplicaciones infectadas, a pesar de ofrecer funcionalidades legítimas, contienen código del Remote Access Trojan (RAT) XploitSPY, disponible en código abierto para Android. Las aplicaciones maliciosas se presentaron bajo la fachada de servicios de mensajería conocidos y otros utilitarios, incluyendo nombres como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat.
El RAT XploitSPY, disponible en GitHub desde abril de 2020, fue desarrollado por RaoMK y está vinculado con una empresa de seguridad informática india, XploitWizer. Este software malicioso es conocido por su capacidad para recolectar una amplia gama de datos sensibles de los dispositivos infectados, incluyendo ubicaciones GPS, grabaciones de micrófono, contactos, mensajes SMS, registros de llamadas, y mucho más.
A lo largo de los años, su código malicioso ha evolucionado agregando ofuscación, detección de emuladores, ocultación de direcciones [de comando y control] y uso de biblioteca nativa. Esta es una evolución continua en las tácticas utilizadas para evitar la detección y análisis.
La campaña eXotic Visit resalta la creciente amenaza del spyware en dispositivos móviles, especialmente en regiones con disputas geopolíticas como el sur de Asia. La eliminación de las aplicaciones infectadas de la Google Play Store es un paso positivo, pero subraya la importancia de una vigilancia continua y el desarrollo de estrategias de seguridad más robustas para proteger a los usuarios contra tales amenazas.
Más información:
- https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html
- https://koodous.com/share/85f19340e1275cb402b900e59d59f52a42c24e77363d27fcf6f5d7ab1f75fb88/general-information
- https://koodous.com/share/6b7de2fa553dbfce80c9b6e99dae35c69593e9dc55a0100fe84dd0c36047f676/general-information
- https://koodous.com/share/6a9280052b761463d0ee3ced0f18635645a2c076619ee461fd1060bb9fdce165/general-information
- https://koodous.com/share/629fa206b1bd9b5a97e00e992dcdf4b8a15b23bd820d748d2815d19d272a9fa1/general-information
- https://koodous.com/share/81c7de859758a90fb002af857a3612f762f3b18f7a9e2048dba354342f80af86/general-information
- https://koodous.com/share/ad643363e46afffdecefa077c4fcfc71f411cd0856e4adcea12a8c08216f07fb/general-information
Deja una respuesta