ClickCease Le logiciel espion Android eXotic Visit cible les Pakistanais et les Indiens

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Le logiciel espion Android eXotic Visit cible les Pakistanais et les Indiens

Wajahat Raja

Le 26 avril 2024 - L'équipe d'experts de TuxCare

Une campagne de logiciels malveillants pour Android, connue sous le nom de eXotic Visit Spywarevise principalement les utilisateurs d'Asie du Sud, et plus particulièrement ceux de l'Inde et du Pakistan. La campagne eXotic Visit Spyware est distribué par l'intermédiaire de sites web spécifiques et du Google Play Store. La société slovaque de cybersécurité ESET a découvert que la campagne avait commencé en novembre. novembre 2021.

Les chercheurs d'ESET n'ont pas établi de lien entre le eXotic Visit Spyware à un acteur ou à un groupe de menace connu, mais ils suivent le groupe à l'origine de l'opération sous le nom de Virtual Invaders.

 

Capacités du logiciel espion eXotic Visit


Le cyber-espionnage en Asie du Sud
est de plus en plus préoccupant en raison des campagnes de logiciels malveillants ciblés tels que le logiciel malveillant Android eXotic Visit. Le logiciel malveillant trouvé dans eXotic Visit fonctionne en intégrant le cheval de Troie d'accès à distance (RAT) Android XploitSPY à source ouverte. cheval de Troie d'accès à distance (RAT) dans les applications. Ce logiciel malveillant permet aux attaquants d'extraire divers types de données des appareils infectés. Les principales informations auxquelles XploitSPY peut accéder sont les suivantes :

 

  • Listes de contacts et fichiers : Informations personnelles stockées sur l'appareil.
  • Journal des appels : Un enregistrement de tous les appels passés et reçus sur le téléphone.
  • Applications installées : Liste de toutes les applications installées sur l'appareil.
  • Réseaux Wi-Fi environnants : Informations sur les réseaux sans fil environnants.
  • Emplacement GPS : L'emplacement actuel de l'appareil.
  • Fichiers dans des répertoires spécifiques : Il s'agit notamment des répertoires liés à l'appareil photo, aux téléchargements et aux applications de messagerie telles que Telegram et WhatsApp.

En outre, XploitSPY permet aux acteurs de la menace d'effectuer toute une série d'activités malveillantes sur le téléphone de la victime, notamment

 

  • Envoi de messages SMS.
  • Prendre des photos à l'aide de l'appareil photo.
  • Enregistrement du son de l'environnement de l'appareil.
  • Interception des notifications provenant de diverses applications de messagerie.
  • Si des noms de fichiers spécifiques intéressants sont trouvés, le logiciel malveillant peut les extraire par le biais de commandes provenant du serveur de commande et de contrôle (C2) des Virtual Invaders.

Les applications malveillantes et leur impact


Le logiciel espion
Le logiciel espion eXotic Visit se déguisent se déguisent en applications de messagerie telles que Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger et Zaangi Chat. Ces applications offrent des services factices mais fonctionnels aux utilisateurs tout en compromettant leurs appareils.

Environ 380 victimes ont téléchargé ces applications et créé des comptes pour les utiliser. Parmi les autres applications d'eXotic Visit figurent Sim Info et Telco DB, qui prétendent fournir des informations sur les propriétaires de cartes SIM en entrant un numéro de téléphone basé au Pakistan. Certaines applications se font passer pour un service de commande de nourriture au Pakistan ou pour un hôpital indien légitime (aujourd'hui rebaptisé Trilife Hospital).

XploitSPY est disponible sur GitHub depuis avril 2020 sous le nom d'utilisateur RaoMK et est lié à une société indienne de solutions de cybersécurité appelée XploitWizer. XploitSPY s'inspire d'un autre cheval de Troie Android open-source connu sous le nom de L3MON, lui-même inspiré d'AhMyth.

 

Attaques de logiciels espions sur les appareils mobiles - Caractéristiques et techniques


Les incidents liés à la cybersécurité au Pakistan et en Inde
se sont multipliés, incitant les utilisateurs à être plus prudents dans leurs activités en ligne. XploitSPY est doté d'un large éventail de fonctionnalités qui lui permettent de collecter des données sensibles sur les appareils infectés, notamment les positions GPS, les enregistrements du microphone, les contacts, les messages SMS, les journaux d'appels et le contenu du presse-papiers.

Elle peut également extraire des détails de notification à partir d'applications telles que WhatsApp, Facebook, Instagram et Gmail, ainsi que télécharger et téléverser des fichiers. Les applications malveillantes peuvent prendre des photos et répertorier des fichiers dans plusieurs répertoires liés aux captures d'écran, à WhatsApp, à WhatsApp Business, à Telegram et à un mod WhatsApp non officiel connu sous le nom de GBWhatsApp.

Lukáš Štefanko, chercheur chez ESET, a déclaré que les acteurs de la menace ont personnalisé leur code au fil des ans, en ajoutant des techniques telles que l'obscurcissement, la détection des émulateurs, la dissimulation des adresses de commande et de contrôle et l'utilisation d'une bibliothèque native.

L'objectif de la bibliothèque native "defcome-lib.so" est de garder les informations du serveur C2 codées et cachées aux outils d'analyse statique.est de garder les informations du serveur C2 codées et cachées aux outils d'analyse statique. Si un émulateur est détecté, l'application utilise un faux serveur C2 pour échapper à la détection.

 

Logiciels espions ciblant le Pakistan et l'Inde


Certaines applications ont été diffusées par l'intermédiaire de sites web spécialement créés à cet effet. Ces sites fournissent un lien vers un fichier paquet Android hébergé sur GitHub. La manière dont les victimes sont dirigées vers ces applications n'est pas claire.

ESET a signalé que le logiciel espion eXotic Visit Spyware a commencé à être distribué sur des sites web dédiés et s'est ensuite étendu au Google Play Store. Les chercheurs ont conclu que la campagne du logiciel espion campagne du logiciel espion eXotic Visita pour objectif l'espionnage, en ciblant principalement des victimes au Pakistan et en Inde, et qu'il constitue une menace majeure pour la cybersécurité des utilisateurs indiens. menaces de cybersécurité pour les utilisateurs indiens.

 

Conclusion


Le logiciel malveillant
campagne de logiciels malveillants eXotic Visit constitue une menace pour les utilisateurs d'Android en Asie du Sud, en particulier en Inde et au Pakistan. En se déguisant en application légitime et en se propageant par le biais de sites web dédiés et du Google Play Store, cette campagne présente des risques importants pour la sécurité mobile. risques pour la sécurité mobile eXotic Visit pour les données et la vie privée des utilisateurs. XploitSPY, le logiciel malveillant utilisé dans le cadre de la campagne, peut accéder à des informations sensibles, effectuer des actions malveillantes sur les appareils des victimes et a été adapté au fil du temps pour échapper à la détection.

Les utilisateurs doivent rester vigilants lorsqu'ils téléchargent des applications et et donner la priorité aux mesures de sécurité pour protéger leurs appareils et leurs informations personnelles contre de telles attaques de logiciels espions Android.

Les sources de cet article comprennent des articles dans The Hacker News et Infosecurity Magazine.

 

Résumé
Le logiciel espion Android eXotic Visit cible les Pakistanais et les Indiens
Nom de l'article
Le logiciel espion Android eXotic Visit cible les Pakistanais et les Indiens
Description
Le logiciel espion eXotic Visit Spyware cible les utilisateurs d'Android en Inde et au Pakistan par le biais d'applications malveillantes. Découvrez le fonctionnement de ces logiciels malveillants et protégez-vous.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information