Messageries Android infectées : ce qu’il faut savoir sur l’attaque eXotic Visit

Des ont découvert une campagne d’espionnage active ciblant les utilisateurs d’Android avec des applications mobiles se faisant passer pour des services de messagerie. Le maliciel open source XploitSPY a encore frappé.

Les applis déouvertes offrent des services fonctionnels comme appâts. Elles sont groupées avec le maliciel open source XploitSPY.  ESET, qui a baptisé cette campagne eXotic Visit, a suivi ses activités de novembre 2021 à fin 2023. La campagne a distribué des applis Android malveillantes via des sites Web dédiés et, pendant un certain temps, via Google Play Store (elles ont toutes été retirées depuis lors).

Dans cette attaque, la campagne eXotic Visit semble cibler un groupe sélectionné d’utilisateurs d’Android au Pakistan et en Inde. Rien n’indique que cette campagne soit liée à un groupe connu mais l’entreprise suit ces hackers sous le nom de Virtual Invaders.

Le modus operandi ? Les applis contenant XploitSPY extraient des listes de contacts et des fichiers, la position GPS de l’appareil et les noms des fichiers contenus dans des répertoires spécifiques liés à la caméra, aux téléchargements et à diverses applis de messagerie telles que Telegram et WhatsApp.

Si certains noms de fichiers semblent intéressants, ils peuvent être extraits de ces répertoires par une commande supplémentaire du C&C. L’implémentation de la fonctionnalité de chat intégrée à XploitSPY est unique. Les chercheurs sont convaincus qu’elle a été développée par le groupe Virtual Invaders.

Les applications Dink Messenger, Sim Info et Defcom ont été supprimées de Google Play.

Le maliciel utilise aussi une bibliothèque native, souvent implémentée dans le développement d’applis Android, pour améliorer les performances et accéder aux fonctionnalités du système. Dans ce cas-ci, la bibliothèque est utilisée pour masquer des informations sensibles, comme les adresses des serveurs C&C. Cela rend plus difficile l’analyse de l’appli par les outils de sécurité.

ESET a identifié le code utilisé, XploitSPY, une version personnalisée du RAT Android open source. Il est fourni avec des fonctionnalités d’appli légitimes. La plupart du temps c’est une fausse appli de messagerie mais qui fonctionne. La campagne a évolué au fil du temps et a inclus l’obscurcissement, la détection d’émulateurs ainsi que le masque des adresses C&C.