Titre: ESET Research découvre eXotic Visit, qui attaque par fausses applis de messagerie disponibles sur le Web et Google Play (10/04/2024 Par cda)
• eXotic Visit, une campagne d'espionnage Android active et ciblée, a débuté fin 2021 et usurpe l'identité d'applis de messagerie distribuées via des sites Web dédiés et Google Play.
• L 'Asie du Sud semble être la région ciblée avec des victimes principalement au Pakistan et en Inde.
• Les applis téléchargées offrent des fonctionnalités légitimes, mais contiennent du code RAT open source Android XploitSPY. ESET Research a lié les échantillons grâce à leur utilisation du même C&C (serveur de commande et de contrôle), de mises à jour de codes malveillants uniques et personnalisées et du même tableau de gestion C&C.
• Au fil du temps, ces hackers ont personnalisé leur code malveillant en l'obscurcissant et en y ajoutant la détection d'émulateurs, en masquant des adresses C&C et en utilisant une bibliothèque native.
• Actuellement, ESET Research n’a pas suffisamment de preuves pour attribuer cette activité à un groupe de menace connu. Le groupe est suivi en interne sous le nom de Virtual Invaders.

BRATISLAVA, le 10 avril 2024 — Les chercheurs d'ESET ont découvert une campagne d'espionnage active ciblant les utilisateurs d'Android avec des applis se faisant passer pour des services de messagerie. Bien que ces applis offrent des services fonctionnels comme appâts, elles sont groupées avec le maliciel open source XploitSPY. ESET, qui a baptisé cette campagne eXotic Visit, a suivi ses activités de novembre 2021 à fin 2023. La campagne a distribué des applis Android malveillantes via des sites Web dédiés et, pendant un certain temps, via Google Play Store. Suite à la nature ciblée de la campagne, les applis disponibles sur Google Play n’ont enregistré que peu d'installations et elles ont toutes été retirées du magasin. Dans cette attaque, la campagne eXotic Visit semble cibler un groupe sélectionné d'utilisateurs d'Android au Pakistan et en Inde. Rien n’indique que cette campagne soit liée à un groupe connu mais ESET suit ces hackers sous le nom de Virtual Invaders.

Les applis contenant XploitSPY extraient des listes de contacts et des fichiers, la position GPS de l'appareil et les noms des fichiers contenus dans des répertoires spécifiques liés à la caméra, aux téléchargements et à diverses applis de messagerie telles que Telegram et WhatsApp. Si certains noms de fichiers semblent intéressants, ils peuvent être extraits de ces répertoires par une commande supplémentaire du C&C. L’implémentation de la fonctionnalité de chat intégrée à XploitSPY est unique. Les chercheurs sont convaincus qu’elle a été développée par le groupe Virtual Invaders.

Le maliciel utilise aussi une bibliothèque native, souvent implémentée dans le développement d’applis Android pour améliorer les performances et accéder aux fonctionnalités du système. Dans ce cas-ci, la bibliothèque est utilisée pour masquer des informations sensibles, comme les adresses des serveurs C&C. Cela rend plus difficile l'analyse de l'appli par les outils de sécurité.

Les applis Dink Messenger, Sim Info et Defcom ont été supprimées de Google Play. En tant que partenaire de l’Alliance Google App Defense, ESET a identifié dix applis supplémentaires contenant du code basé sur XploitSPY et a partagé ces résultats avec Google. Ensuite, les applis ont été retirées du magasin. Chaque appli n’a enregistré qu’un faible nombre d’installations. Cela suggère une approche ciblée plutôt qu’une stratégie globale. Au total, environ 380 victimes ont téléchargé les applis depuis le Web et Google Play Store et ont créé des comptes pour utiliser la fonctionnalité de messagerie. La nature ciblée de la campagne a limité entre zéro et 45 le nombre d'installations de chaque appli à partir de Google Play.

ESET a identifié le code utilisé, XploitSPY, une version personnalisée du RAT Android open source. Il est fourni avec des fonctionnalités d'appli légitimes. La plupart du temps c’est une fausse appli de messagerie mais qui fonctionne. La campagne a évolué au fil du temps et a inclus l'obscurcissement, la détection d'émulateurs ainsi que le masque des adresses C&C.

XploitSPY est largement disponible et des versions personnalisées ont été utilisées par plusieurs hackers tels que le groupe Transparent Tribe APT, comme documenté par Meta. Cependant, les modifications trouvées dans les applis sont particulières et différentes de celles des variantes du maliciel XploitSPY, documentées précédemment.

Pour plus d'informations techniques sur la campagne eXotic Visit, consultez le blog “eXotic Visit campaign: Tracing the footprints of Virtual Invaders”. Suivez aussi ESET Research on Twitter (now known as X) pour les dernières nouvelles d’ESET Research.


A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et https://www.eset.com/be-fr/
Retour