ESET-onderzoekers hebben een actieve spionagecampagne ontdekt die zich richt op Android-gebruikers met apps die zich als maildiensten voordoen. Hoewel deze apps functionele diensten als lokaas bieden, zijn ze met de open source XploitSPY-malware gebundeld.Apps met XploitSPY extraheren contactlijsten en bestanden, de GPS-locatie van het toestel en de namen van bestanden in specifieke mappen die aan de camera gekoppeld zijn, aan downloads en aan verschillende mail-apps zoals Telegram en WhatsApp.
• eXotic Visit, een actieve en gerichte Android-spionagecampagne , startte eind 2021 en bootst mailapps na die via specifieke websites en Google Play worden verspreid.
• Het doelwit lijkt Zuid-Azië te zijn, met de meeste slachtoffers in Pakistan en India.
• Gedownloade apps bieden legitieme functionaliteiten, maar bevatten code van XploitSPY, de open source Android RAT. ESET Research kon de stalen linken wegens het gebruik van dezelfde C&C (command and control) server, unieke en aangepaste malware-updates en hetzelfde C&C-beheerpaneel.
• Mettertijd hebben de aanvallers hun kwaadaardige code aangepast door deze te verduisteren en er emulatordetectie aan toe te voegen, C&C-adressen te verbergen en een eigen bibliotheek te gebruiken.
• Momenteel beschikt ESET Research niet over voldoende bewijzen om deze activiteit toe te schrijven aan een bekende bedreigingsgroep. De groep wordt intern gevolgd onder de naam Virtual Invaders.
BRATISLAVA, 10 april 2024 — ESET-onderzoekers hebben een actieve spionagecampagne ontdekt die zich richt op Android-gebruikers met apps die zich als maildiensten voordoen. Hoewel deze apps functionele diensten als lokaas bieden, zijn ze met de open source XploitSPY-malware gebundeld. ESET noemde de campagne eXotic Visit en volgde de activiteiten van november 2021 tot eind 2023. De campagne verspreidde kwaadaardige Android-apps via speciale websites en ook via Google Play Store. Wegens het doelgerichte karakter van de campagne werden de apps, die beschikbaar waren op Google Play, weinig geïnstalleerd en werden ze allemaal uit de store verwijderd. Deze aanval van eXotic Visit lijkt gericht op een geselecteerde groep Android-gebruikers in Pakistan en India. Er zijn geen aanwijzingen dat de campagne gekoppeld is aan een bekende groep, maar ESET volgt deze hackers onder de naam Virtual Invaders.
Apps met XploitSPY extraheren contactlijsten en bestanden, de GPS-locatie van het toestel en de namen van bestanden in specifieke mappen die aan de camera gekoppeld zijn, aan downloads en aan verschillende mail-apps zoals Telegram en WhatsApp. Als sommige bestandsnamen interessant blijken, kunnen ze uit deze mappen worden gehaald door een extra opdracht van de command and control (C&C)-server. De implementatie van de ingebouwde chatfunctionaliteit van XploitSPY is uniek. De onderzoekers zijn ervan overtuigd dat deze door de Virtual Invaders-groep werd ontwikkeld.
De malware gebruikt ook een eigen bibliotheek, die vaak bij de ontwikkeling van Android-apps wordt gebruikt om de prestaties te verbeteren en toegang te krijgen tot systeemfuncties. In dit geval dient de bibliotheek om gevoelige informatie te verbergen, zoals C&C-serveradressen. Zo wordt het voor beveiligingstools moeilijker om de app te analyseren.
De apps Dink Messenger, Sim Info en Defcom werden uit Google Play verwijderd. Als partner van de Google App Defense Alliance identificeerde ESET tien bijkomende apps die op XploitSPY gebaseerde code bevatten. Deze resultaten werden aan Google meegedeeld. De apps werden uit de store verwijderd. Elke app werd slechts een klein aantal keren geïnstalleerd. Dit suggereert een doelgerichte aanpak eerder dan een algemene strategie. In totaal hebben ongeveer 380 slachtoffers de apps van internet en Google Play Store gedownload en accounts aangemaakt om de mailfunctionaliteit te gebruiken. Het doelgerichte karakter van de campagne kan worden afgeleid uit het aantal installaties via Google Play die voor elke app tussen nul en 45 liggen.
ESET identificeerde de gebruikte code, XploitSPY, als een aangepaste versie van de open source Android RAT. Het wordt geleverd met legitieme app-functies. Meestal is het een nep-mailapp, maar het werkt. De campagne is mettertijd geëvolueerd en omvat nu ook verduistering, emulatordetectie en het maskeren van C&C-adressen.
XploitSPY is overal verkrijgbaar en aangepaste versies werden gebruikt door diverse hackers, o.a. de Transparent Tribe APT-groep, zoals gedocumenteerd door Meta. De wijzigingen die in de apps gevonden werden, zijn echter uniek en verschillen van de in de eerder gedocumenteerde XploitSPY-malwarevarianten.
Voor meer technische informatie over de eXotic Visit-campagne, raadpleeg de blog “eXotic Visit campaign: Tracing the footprints of Virtual Invaders”. Volg ook ESET Research on Twitter (now known as X) voor de nieuwste info over ESET Research.
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en X.
Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/
Read more