ESET Research a mis au jour des applications de messagerie frauduleuses présentes sur le Web et sur Google Play dans le cadre d’une campagne d’espionnage baptisée eXotic Visit, visant principalement l’Asie du Sud. Ces applications malveillantes sur Android imitent des services de messagerie légitimes, mais intègrent en réalité le code d’Android XploitSPY RAT, avec une obfuscation ajoutée par les auteurs. À ce stade, ESET ne peut pas attribuer cette campagne à un groupe spécifique.
Les chercheurs d’ESET ont découvert une campagne d’espionnage visant les utilisateurs d’Android, déployant des applications se faisant passer pour des services de messagerie ordinaires. Ces applications, bien qu’apparemment légitimes, contiennent en fait le logiciel malveillant open source XploitSPY. Elles ont été diffusées via des sites Web dédiés et le Google Play Store.
Cette campagne, nommée eXotic Visit par ESET, a été active de novembre 2021 à fin 2023, principalement concentrée sur les utilisateurs Android au Pakistan et en Inde. Les applications disponibles sur Google Play ont été peu téléchargées (entre zéro et 45 fois) et ont toutes été retirées de la plateforme. Les données collectées jusqu’à présent ne permettent pas à ESET d’identifier le groupe responsable de cette attaque.
Les applications Dink Messenger, Sim Info et Defcom ont été retirées de Google Play. ESET, en tant que partenaire de la Google App Defense Alliance, a informé Google de la découverte de dix autres applications utilisant du code provenant d’XploitSPY. Au total, environ 380 individus ont été affectés par ces applications, téléchargées à partir de divers sites Web et du Google Play Store.
Les applications basées sur XploitSPY peuvent extraire des listes de contacts, récupérer des données de géolocalisation et accéder à des noms de fichiers spécifiques liés à des applications de messagerie telles que Telegram et WhatsApp, ainsi qu’à des fonctions de l’appareil photo et des téléchargements. En cas de détection de noms de fichiers pertinents, ils sont extraits des répertoires via une demande du serveur de commande et de contrôle (C&C). ESET note l’émergence d’une fonctionnalité de chat dans XploitSPY, suggérant qu’elle a été développée par le groupe d’attaquants.
Le malware exploite également une bibliothèque système couramment utilisée dans le développement d’applications Android pour améliorer les performances et accéder aux fonctionnalités du système. Cependant, dans ce contexte, la bibliothèque est utilisée pour dissimuler des informations sensibles, telles que les adresses des serveurs C&C, rendant l’analyse de l’application plus complexe pour les outils de sécurité.
Bien que XploitSPY soit largement disponible et que des versions personnalisées aient été utilisées par divers acteurs malveillants, notamment le groupe APT Transparent Tribe, les modifications observées dans ces applications sont spécifiques et se distinguent des variantes antérieures.