Una campagna malware attiva, denominata “eXotic Visit”, sta prendendo di mira gli utenti Android in Sud Asia, in particolare in India e Pakistan, attraverso la distribuzione di malware tramite siti web dedicati e il Google Play Store. La campagna, attiva da novembre 2021, è stata scoperta dalla società di cybersecurity slovacca ESET, che non ha collegato l’attività a nessun noto attore o gruppo di minacce, battezzando il gruppo dietro queste operazioni con il nome “Virtual Invaders”.
Funzionalità legittime nascondono rischi
Le applicazioni scaricate offrono funzionalità legittime ma includono codice proveniente dall’open-source Android XploitSPY RAT, permettendo di raccogliere dati sensibili dai dispositivi infetti, come posizioni GPS, registrazioni del microfono, contatti, messaggi SMS, registri delle chiamate e contenuti degli appunti. Tali applicazioni sono state in grado di estrarre dettagli dalle notifiche di app popolari come WhatsApp, Facebook, Instagram e Gmail; oltre a consentire il download e l’upload di file, visualizzare le app installate e mettere in coda i comandi.
Le app malevole sono inoltre progettate per scattare foto e enumerare file in diverse directory relative a screenshot, WhatsApp, WhatsApp Business, Telegram e una modifica non ufficiale di WhatsApp nota come GBWhatsApp.
Applicazioni e le tattiche di Distribuzione
Le applicazioni ingannevoli, mascherate principalmente come servizi di messaggistica come Alpha Chat, ChitChat e altri, hanno raccolto circa 380 vittime che hanno scaricato le app e creato account per utilizzarle a scopi di messaggistica. Anche altre app come Sim Info e Telco DB, che promettono di fornire dettagli sui proprietari di SIM inserendo un numero di telefono basato in Pakistan, sono state impiegate come parte della campagna eXotic Visit.
Le applicazioni sono state distribuite attraverso siti web appositamente creati che forniscono un collegamento a un file di pacchetto Android ospitato su GitHub. Non è ancora chiaro come le vittime siano state indirizzate a queste app.
Obiettivi e implicazioni
La campagna eXotic Visit mira principalmente allo spionaggio, probabilmente focalizzandosi su vittime in Pakistan e India. Con la crescente sofisticazione degli attori delle minacce e la loro capacità di nascondere le attività malevole dietro funzionalità legittime, è fondamentale per gli utenti rimanere vigili e prudenti nell’installare applicazioni, soprattutto da fonti non ufficiali.
