Los investigadores de ESET han descubierto una campaña de espionaje activa dirigida a usuarios de Android con aplicaciones que se hacen pasar principalmente por servicios de mensajería. Aunque estas aplicaciones ofrecen servicios funcionales como cebo, incluyen el malware de código abierto XploitSPY.

Hemos denominado a esta campaña eXotic Visit y hemos rastreado sus actividades desde noviembre de 2021 hasta finales de 2023. La campaña ha estado distribuyendo aplicaciones maliciosas para Android a través de sitios web especializados y, desde hace algún tiempo, también a través de la tienda Google Play.

Debido a la naturaleza selectiva de la campaña, las aplicaciones disponibles en Google Play tenían un bajo número de instalaciones; todas ellas han sido eliminadas de la tienda. La campaña eXotic Visit parece dirigirse principalmente a un grupo selecto de usuarios de Android en Pakistán y la India. No hay indicios de que esta campaña esté vinculada a ningún grupo conocido; sin embargo, estamos rastreando a los actores de la amenaza que están detrás de ella bajo el apodo de Virtual Invaders.

Puntos clave del informe:
  • Esta campaña de espionaje activa y dirigida a Android, que hemos denominado eXotic Visit, comenzó a finales de 2021 y suplanta principalmente aplicaciones de mensajería que se distribuyen a través de sitios web dedicados y Google Play.
  • En total, en el momento de escribir estas líneas, alrededor de 380 víctimas han descargado las aplicaciones de ambas fuentes y han creado cuentas para utilizar sus funciones de mensajería. Debido a la naturaleza selectiva de la campaña, el número de instalaciones de cada aplicación desde Google Play es relativamente bajo: entre cero y 45.
  • Las aplicaciones descargadas ofrecen funcionalidades legítimas, pero también incluyen código de la RAT de código abierto para Android XploitSPY. Hemos vinculado las muestras a través del uso del mismo C&C, actualizaciones de código malicioso únicas y personalizadas, y el mismo panel de administración de C&C.
  • A lo largo de los años, estos actores de amenazas han personalizado su código malicioso añadiendo ofuscación, detección de emuladores, ocultación de direcciones de C&C y uso de una biblioteca nativa.
  • La región de interés parece ser el sur de Asia; en particular, las víctimas en Pakistán y la India han sido el objetivo.
  • Actualmente, ESET Research no tiene pruebas suficientes para atribuir esta actividad a ningún grupo de amenazas conocido; rastreamos al grupo internamente como Virtual Invaders.

Las aplicaciones que contienen XploitSPY pueden extraer listas de contactos y archivos, obtener la ubicación GPS del dispositivo y los nombres de archivos que aparecen en directorios específicos relacionados con la cámara, descargas y varias aplicaciones de mensajería como Telegram y WhatsApp. Si se identifican determinados nombres de archivos como de interés, pueden extraerse posteriormente de estos directorios mediante un comando adicional desde el servidor de mando y control (C&C). Curiosamente, la implementación de la funcionalidad de chat integrada en XploitSPY es única; creemos firmemente que esta función de chat fue desarrollada por el grupo Virtual Invaders.

El malware también utiliza una biblioteca nativa, que suele emplearse en el desarrollo de aplicaciones Android para mejorar el rendimiento y acceder a funciones del sistema. Sin embargo, en este caso, la biblioteca se utiliza para ocultar información sensible, como las direcciones de los servidores de C&C, lo que dificulta el análisis de la aplicación por parte de las herramientas de seguridad.

Las aplicaciones descritas en las secciones siguientes fueron retiradas de Google Play; además, como socio de Google App Defense Alliance, ESET identificó otras diez aplicaciones que contienen código basado en XploitSPY y compartió sus hallazgos con Google. Tras nuestra alerta, las aplicaciones fueron retiradas de la tienda. Cada una de las aplicaciones descritas a continuación tenía un bajo número de instalaciones, lo que sugiere un enfoque específico en lugar de una estrategia amplia. La sección Cronología de las aplicaciones eXotic Visit describe las aplicaciones "falsas", aunque funcionales, que hemos identificado como parte de esta campaña, mientras que la sección Análisis técnico se centra en los detalles del código XploitSPY, presente en varias encarnaciones en esas aplicaciones.

Cronología de las aplicaciones de eXotic Visit

Empezando cronológicamente, el 12 de enero de 2022, MalwareHunterTeam compartió un tweet con un hash y un enlace a un sitio web que distribuye una app llamada WeTalk, que suplanta a la popular aplicación china WeChat. El sitio web proporcionaba un enlace a un proyecto de GitHub para descargar una aplicación maliciosa para Android. Según la fecha disponible en GitHub, la app wetalk.apk se subió en diciembre de 2021.

En ese momento, había cinco aplicaciones disponibles, con los nombres ChitChat.apk, LearnSindhi.apk, SafeChat.apk, wechat.apk y wetalk.apk. La aplicación ChitChat estaba disponible en GitHub desde noviembre de 2021 y se distribuía a través de un sitio web específico(chitchat.ngrok[.]io; véase la figura 1), al igual que la aplicación maliciosa WeTalk mencionada anteriormente. Ambas utilizan la misma dirección de C&C con la interfaz de acceso al panel de administración que se muestra en la Figura 2.

Figure 1. Distribution website of the ChitChat app
Figura 1: Sitio web de distribución de la aplicación ChitChat
Figure 2. Admin panel login page for the WeTalk and ChitChat C&C server
Figura 2. Página de inicio de sesión del panel de administración del servidor de C&C de WeTalk y ChitChat

Desde julio de 2023, la misma cuenta de GitHub ha alojado nuevas aplicaciones Android maliciosas que tienen el mismo código malicioso y el mismo servidor de C&C. No tenemos información sobre cómo se distribuyen estas apps. Las aplicaciones se almacenan en cinco repositorios, con nombres como ichat.apk, MyAlbums.apk, PersonalMessenger.apk, Photo Collage Grid & Pic Maker.apk, Pics.apk, PrivateChat.apk, SimInfo.apk, Specialist Hospital.apk, Spotify_ Music and Podcasts.apk, TalkUChat.apk y ThemesforAndroid.apk.

Volviendo a ChitChat.apk y wetalk.apk: ambas aplicaciones contienen la funcionalidad de mensajería prometida, pero también incluyen código malicioso que hemos identificado como XploitSPY de código abierto disponible en GitHub. XploitSPY se basa en otra RAT para Android de código abierto llamada L3MON; sin embargo, su autor la retiró de GitHub. L3MON se inspiró en otra RAT para Android de código abierto llamada AhMyth, con funcionalidad ampliada (cubrimos otra RAT para Android derivada de AhMyth en esta entrada del blog WeLiveSecurity).

El espionaje y el control remoto del dispositivo objetivo son los principales objetivos de la aplicación. Su código malicioso es capaz de

  • listar archivos en el dispositivo,
  • enviar mensajes SMS,
  • obtener registros de llamadas, contactos, mensajes de texto y una lista de aplicaciones instaladas,
  • obtener una lista de las redes Wi-Fi circundantes, la ubicación del dispositivo y las cuentas de usuario,
  • hacer fotos con la cámara,
  • grabar audio del entorno del dispositivo, e
  • interceptar las notificaciones recibidas de WhatsApp, Signal y cualquier otra notificación que contenga la cadena mensajes nuevos.

La última función podría ser un vago intento de interceptar los mensajes recibidos de cualquier app de mensajería.

La misma dirección de C&C utilizada por las aplicaciones mencionadas anteriormente(wechat.apk y ChitChat.apk) también es utilizada por Dink Messenger. Según las URL in-the-wild de VirusTotal, esta muestra estaba disponible para su descarga desde letchitchat[.]info el 24 de febrero de 2022. Ese dominio fue registrado el 28 de enero de 2022. Además de la funcionalidad de mensajería, los atacantes añadieron código malicioso basado en XploitSPY.

El 8 de noviembre de 2022, MalwareHunterTeam tuiteó un hash de la aplicación maliciosa para Android alphachat.apk con su sitio web de descarga. La aplicación estaba disponible para su descarga en el mismo dominio que la aplicación Dink Messenger(letchitchat[.]info). La aplicación Alpha Chat utiliza el mismo servidor de C&C y la misma página de acceso al panel de administración de C&C que en la figura 2, pero en un puerto diferente; la aplicación también contiene el mismo código malicioso. No tenemos información sobre cuándo estuvo disponible Dink Messenger en el dominio; posteriormente, fue sustituido por Alpha Chat.

La app troyanizada Alpha Chat, en comparación con las versiones anteriores de XploitSPY de la campaña eXotic Visit, contiene una actualización del código malicioso que incluye la detección de emuladores. Si esta app detecta que se está ejecutando en un emulador, entonces utiliza una dirección de C&C falsa en lugar de revelar la real, como se muestra en la Figura 3. Lo más probable es que esto impida que los sandboxes de malware automatizados, al realizar análisis dinámicos, identifiquen el servidor de C&C real.

Figure 3. Emulator detection
Figura 3. Detección del emulador

 

Alpha Chat también utiliza una dirección de C&C adicional para filtrar archivos que no son imágenes y que tienen un tamaño superior a 2 MB. Los demás archivos se filtran a través de un socket web al servidor de C&C.

Existe una conexión entre las aplicaciones Dink Messenger y Alpha Chat: ambas se distribuyeron en el mismo sitio web dedicado. Sin embargo, Dink Messenger también se distribuyó cuidadosamente a través de la tienda Google Play: La versión 1.0 de Dink Messenger apareció en Google Play el8 de febrero de 2022, pero sin incluir ninguna funcionalidad maliciosa. Esto podría haber sido una prueba por parte del actor de la amenaza para ver si la aplicación sería validada y subida con éxito a la tienda. El24 de mayo de 2022, se subió la versión 1.2, aún sin funcionalidad maliciosa. En ese momento, la aplicación se instaló más de 15 veces. El10 de junio de 2022, se subió la versión 1.3 a Google Play. Esta versión contenía código malicioso, como se muestra en la Figura 4.

Figure 4. Class name comparison of Dink Messenger without malicious functionality (left) and with (right)
Figura 4. Comparación de nombres de clase de Dink Messenger sin funcionalidad maliciosa (izquierda) y con (derecha)

Posteriormente, se subieron tres versiones más a Google Play con el mismo código malicioso; la última, la versión 1.6, se subió el 15 de diciembre de 2022. En total, estas seis versiones tienen más de 40 instalaciones. No tenemos información sobre cuándo se retiró la aplicación de la tienda. Todas las versiones de la aplicación con y sin código malicioso estaban firmadas por el mismo certificado de desarrollador, lo que significa que fueron creadas y subidas a Google Play por el mismo desarrollador malicioso.

También es importante mencionar que la aplicación Dink Messenger disponible en letchitchat[.]info utilizaba el mismo servidor de C&C que la aplicación Dink Messenger en Google Play, y podía realizar acciones maliciosas ampliadas; sin embargo, la interfaz de usuario de cada una era diferente (véase la figura 5). Dink Messenger en Google Play implementaba comprobaciones de emulador (al igual que Alpha Chat), mientras que la del sitio web dedicado no lo hacía.

Figure 5. User interface of Dink Messenger downloaded from a dedicated website (left) and Google Play (right)
Figura 5. Interfaz de usuario de Dink Messenger descargado de un sitio web dedicado (izquierda) y de Google Play (derecha)

El 15 de agosto de 2022, la aplicación Telco DB (con el nombre de paquete com.infinitetechnology.telcodb), que afirma proporcionar información sobre los propietarios de los números de teléfono, se subió a una tienda de aplicaciones alternativa; véase la figura 6. Esta aplicación tiene el mismo código malicioso que la de Dink Messenger. Esta aplicación tiene el mismo código malicioso, una comprobación de emulador recién añadida con redirección de dirección de C&C falsa y un servidor de C&C adicional para la exfiltración de archivos. La dirección de C&C no está codificada, como en los casos anteriores, sino que se devuelve desde un servidor Firebase. Creemos que se trata de otro truco para ocultar el verdadero servidor de C&C, y quizás incluso para actualizarlo en el futuro. Con un alto nivel de confianza, evaluamos que esta aplicación forma parte de la campaña eXotic Visit.

Figure 6. User interface of the Telco DB app
Figura 6. Interfaz de usuario de la aplicación Telco DB

Cuatro días más tarde, el 19 de agosto de 2022, la aplicación Sim Info se subió a Google Play como parte de la campaña. También afirma proporcionar al usuario información sobre quién es el propietario de un número de teléfono.

El código malicioso se comunica con el mismo servidor de C&C que las muestras anteriores y, por lo demás, es el mismo, salvo que los autores de la amenaza incluyeron una biblioteca nativa. En la sección Conjunto de herramientas se explica con más detalle esta biblioteca nativa. Sim Info alcanzó más de 30 instalaciones en Google Play; no tenemos información sobre cuándo se eliminó de la tienda.

El 21 de junio de 2023, la aplicación maliciosa Defcom se subió a Google Play; véase la Figura 7.

Figure 7. Defcom messaging app on Google Play
Figura 7. Aplicación de mensajería Defcom en Google Play

Defcom es una aplicación de mensajería troyanizada que forma parte de la campaña eXotic Visit, utilizando el mismo código malicioso y la misma biblioteca nativa para recuperar su servidor de C&C. Utiliza un nuevo servidor de C&C, pero con la misma interfaz de inicio de sesión del panel de administración que se muestra en la Figura 2. Este dominio de C&C(zee.xylonn[.]com) fue registrado el2 de junio de 2023.

Antes de que la aplicación fuera eliminada, en algún momento de junio de 2023, alcanzó unas seis instalaciones en Google Play.

En la Figura 8, se ilustra una cronología de cuándo todas las aplicaciones estuvieron disponibles por primera vez para su descarga como parte de la campaña.

Figure 8. Timeline first apperance XploitSPY
Figura 8. Cronología de la primera aparición de las aplicaciones infectadas por XploitSPY que forman parte de la campaña maliciosa

Además de las aplicaciones maliciosas ya mencionadas que forman parte de la campaña, pudimos identificar otras aplicaciones que se subieron a Google Play, y otras en las que se intentó subirlas, pero no podemos saber si la subida tuvo éxito. Aunque las identificamos basándonos en los mismos nombres de detección, no pudimos obtener las muestras para analizarlas y verificar si forman parte de la misma campaña. En cualquier caso, contienen código malicioso basado en XploitSPY. En la Tabla 1 se enumeran las aplicaciones de XploitSPY disponibles en Google Play. Cada una de estas aplicaciones tenía un bajo número de instalaciones. Un número considerable de las aplicaciones disponibles en Google Play no tenían ninguna instalación, y algunas tenían menos de 10 instalaciones. El mayor número de instalaciones de Play Store fue inferior a 45.

Tabla 1. Más aplicaciones con XploitSPY disponibles en Google Play

App name

Package name

Date uploaded to Google Play

Zaangi Chat

com.infinite.zaangichat

July 22nd, 2022

Wicker Messenger

com.reelsmart.wickermessenger

August 25th, 2022

Expense Tracker

com.solecreative.expensemanager

November 4th, 2022

La Tabla 2 enumera las aplicaciones maliciosas que los desarrolladores intentaron subir a Google Play; sin embargo, no tenemos información sobre si llegaron a estar disponibles en Google Play.

Tabla 2. Aplicaciones con XploitSPY que se subieron a Google Play

App name

Package name

Date uploaded to Google Play

Signal Lite

com.techexpert.signallite

December 1st, 2021

Telco DB

com.infinitetech.telcodb

July 25th, 2022

Telco DB

com.infinitetechnology.telcodb

July 29th, 2022

Tele Chat

com.techsight.telechat

November 8th, 2022

Track Budget

com.solecreative.trackbudget

December 30th, 2022

SnapMe

com.zcoders.snapme

December 30th, 2022

TalkU

com.takewis.talkuchat

February 14th, 2023

ESET es miembro de la App Defense Alliance y socio activo en el programa de mitigación de malware, cuyo objetivo es encontrar rápidamente aplicaciones potencialmente dañinas (PHA) y detenerlas antes de que lleguen a Google Play.

Como socio de Google App Defense Alliance, ESET identificó todas las aplicaciones mencionadas como maliciosas y compartió sus conclusiones con Google, que posteriormente las anuló. Todas las aplicaciones identificadas en el informe que estaban en Google Play ya no están disponibles en la tienda Play.

Victimología

Nuestra investigación indica que las aplicaciones maliciosas desarrolladas por eXotic Visit se distribuyeron a través de Google Play y sitios web especializados, y cuatro de esas aplicaciones se dirigían principalmente a usuarios de Pakistán y la India. Detectamos una de esas cuatro aplicaciones, Sim Info, en un dispositivo Android en Ucrania, pero no creemos que Ucrania sea el objetivo específico, ya que la aplicación estaba disponible en Google Play para que cualquiera la descargara. Según nuestros datos, cada una de las aplicaciones maliciosas disponibles en Google Play se descargó decenas de veces; sin embargo, no tenemos ninguna información sobre los detalles de la descarga.

Identificamos objetivos potenciales para cuatro de estas aplicaciones: Sim Info, Telco DB(com.infinitetechnology.telcodb), Shah jee Foods y Specialist Hospital.

Las aplicaciones Sim Info y Telco DB ofrecen a los usuarios la posibilidad de buscar información sobre el propietario de la tarjeta SIM de cualquier número de móvil paquistaní, utilizando el servicio en línea dbcenteruk.com; véase la figura 9.

Figure 9. Sim Info’s interface to search for Pakistani phone number information
Figura 9: Interfaz de Sim Info para buscar información sobre números de teléfono paquistaníes.

El 8 de julio de 2022, una aplicación llamada Shah jee Foods fue subida a VirusTotal desde Pakistán. Esta aplicación forma parte de la campaña. Tras iniciarse, muestra un sitio web de pedidos de comida para la región de Pakistán, foodpanda.pk.

La aplicación Specialist Hospital, disponible en GitHub, se hace pasar por la aplicación de Specialist Hospital en la India(specialisthospital.in); véase la figura 10. Tras iniciarse, la aplicación solicita permisos a los usuarios para acceder al sitio web. Tras iniciarse, la aplicación solicita los permisos necesarios para realizar sus actividades maliciosas y, a continuación, pide al usuario que instale la aplicación legítima desde Google Play.

Figure 10. The malicious Specialist Hospital app (left) impersonates the legitimate service (right)
Figura 10. La aplicación maliciosa Specialist Hospital (izquierda) se hace pasar por el servicio legítimo (derecha)

Pudimos encontrar más de 380 cuentas comprometidas creadas en algunas de estas apps; sin embargo, no pudimos recuperar su geolocalización. Dado que se encontró el mismo código inseguro en diez aplicaciones, podemos afirmar con un alto nivel de confianza que fueron desarrolladas por el mismo actor de la amenaza.

Atribución

Rastreamos esta operación, activa desde finales de 2021, como eXotic Visit, pero basándonos en la investigación de ESET y en la de otros, no podemos atribuir esta campaña a ningún grupo conocido. Como resultado, hemos etiquetado internamente al grupo detrás de esta operación como Virtual Invaders.

XploitSPY está ampliamente disponible y múltiples actores de amenazas, como el grupo Transparent Tribe APT, han utilizado versiones personalizadas, tal y como documenta Meta. Sin embargo, las modificaciones encontradas en las aplicaciones que describimos como parte de la campaña eXotic Visit son distintivas y difieren de las de variantes previamente documentadas del malware XploitSPY.

Análisis técnico

Acceso inicial

El acceso inicial al dispositivo se consigue engañando a la víctima potencial para que instale una aplicación falsa pero funcional. Como se describe en la sección Cronología de las aplicaciones eXotic Visit, las aplicaciones maliciosas ChitChat y WeTalk se distribuyeron a través de sitios web dedicados(chitchat.ngrok[.]io y wetalk.ngrok[.]io, respectivamente), y se alojaron en GitHub(https://github[.]com/Sojal87/).

En ese momento, otras tres aplicaciones ( LearnSindhi.apk, SafeChat.apk y wechat.apk ) estaban disponibles en la misma cuenta de GitHub; desconocemos su vector de distribución. En julio de 2023, estas aplicaciones ya no estaban disponibles para su descarga desde sus repositorios de GitHub. Sin embargo, la misma cuenta de GitHub alberga ahora varias aplicaciones maliciosas nuevas disponibles para su descarga. Todas estas nuevas aplicaciones también forman parte de la campaña de espionaje malicioso eXotic Visit, ya que también contienen variantes del mismo código XploitSPY.

Las aplicaciones Dink Messenger y Alpha Chat estaban alojadas en un sitio web dedicado(letchitchat[.]info), desde el que se inducía a las víctimas a descargar e instalar la aplicación.

Las aplicaciones Dink Messenger, Sim Info y Defcom estaban disponibles en Google Play hasta que Google las retiró.

Conjunto de herramientas

Todas las apps analizadas contienen personalizaciones del código de la app maliciosa XploitSPY disponible en GitHub. Desde la primera versión encontrada en 2021 hasta la última, distribuida por primera vez en julio de 2023, hemos visto continuos esfuerzos de desarrollo. Virtual Invaders ha incluido:

  • uso de un falso servidor C&C si se detecta un emulador,
  • ofuscación de código,
  • un intento de ocultar las direcciones de C&C del análisis estático recuperándolas de su servidor Firebase, y
  • el uso de una biblioteca nativa que mantiene el servidor de C&C y otra información codificada y oculta a las herramientas de análisis estático.

Lo que sigue es nuestro análisis del malware XploitSPY personalizado que, en la aplicación Defcom, estaba disponible en Google Play.

Defcom integra código XploitSPY con una funcionalidad de chat única; creemos con un alto nivel de confianza que la funcionalidad de chat fue creada por Virtual Invaders. Esto se aplica a todas las demás aplicaciones de mensajería que tienen XploitSPY incluido.

Tras su inicio, la aplicación pide a los usuarios que creen una cuenta y al mismo tiempo intenta obtener detalles de la ubicación del dispositivo consultando api.ipgeolocation.io y reenviando el resultado a un servidor Firebase. Este servidor también funciona como servidor del componente de mensajería. La interfaz de la aplicación se muestra en la Figura 11.

Figure 11. Defcom’s login interface (left) and in-app tabs (right)
Figura 11. Interfaz de inicio de sesión de Defcom (izquierda) y pestañas de la aplicación (derecha)

Defcom utiliza una biblioteca nativa, a menudo utilizada en el desarrollo de aplicaciones Android para mejorar el rendimiento y el acceso a las funciones del sistema. Escritas en C o C++, estas bibliotecas pueden utilizarse para ocultar funcionalidades maliciosas. La biblioteca nativa de Defcom se llama defcome-lib.so. El propósito de defcome-lib.so es ocultar información sensible como servidores C&C del análisis estático de aplicaciones. Los métodos implementados en la librería devuelven una cadena codificada en base64 que es decodificada por el código malicioso durante el tiempo de ejecución. Esta técnica no es muy sofisticada, pero impide que las herramientas de análisis estático extraigan los servidores de C&C. La Figura 12 muestra las declaraciones de métodos nativos en el código Java, y la Figura 13 la implementación del método getServerUrl en código ensamblador. Nótese que el comentario sobre cada declaración en la Figura 12 es el valor de retorno decodificado al llamar a ese método.

Figure 12. Native method declarations
Figura 12. Declaraciones de métodos nativos
Figure 13. Implementation of the native method getServerUrl in assembly language
Figura 13. Implementación del método nativo getServerUrl en código ensamblador

Los comandos a ejecutar en el dispositivo comprometido son devueltos desde el servidor C&C. Cada comando está representado por un valor de cadena. La lista de comandos es

  • 0xCO - Obtener lista de contactos.
  • 0xDA - Extraer archivo del dispositivo. La ruta al archivo se recibe del servidor C&C.
  • 0xFI - Listar archivos en el directorio especificado por el servidor. Con un argumento adicional puede subir archivos desde un directorio especificado al servidor C&C.
  • 0xIP - Obtiene la geolocalización del dispositivo utilizando el servicio ipgeolocation.io.
  • 0xLO - Obtiene la localización GPS del dispositivo.
  • 0xOF - Lista archivos en siete directorios específicos. En cuatro casos las rutas de los archivos están codificadas, en tres casos sólo los nombres de las carpetas. Un argumento adicional especifica el directorio
    • 0xCA - Cámara
    • 0xDW - Descargas
    • 0xSS - /storage/emulated/0/Pictures/Screenshots
    • 0xTE - Telegrama
    • 0xWB - /storage/emulated/0/Android/media/com.whatsapp.w4b/WhatsApp Business/Media
    • 0xWG - /storage/emulated/0/Android/media/com.gbwhatsapp/GBWhatsApp/Media
    • 0xWP - /storage/emulated/0/Android/media/com.whatsapp/WhatsApp/Media

Curiosamente, GB WhatsApp es una versión clonada no oficial de WhatsApp. Aunque ofrece funciones adicionales que la han hecho bastante popular, es importante tener en cuenta que no está disponible en Google Play. En su lugar, suele encontrarse en varios sitios web de descargas, donde las versiones de la misma suelen estar plagadas de malware. La aplicación tiene una base de usuarios considerable en varios países, incluida la India, a pesar de los riesgos de seguridad que conlleva.

Las figuras 14 y 15 muestran la filtración de una lista de contactos y un listado de directorios.

Figure 14. Contact list exfiltration
Figura 14. Extracción de una lista de contactos
Figure 15. File list exfiltration
Figura 15. Exfiltración  de una lista de contactos

Infraestructura de red

Virtual Invaders utiliza ngrok como su servidor de C&C; el servicio es una aplicación multiplataforma que permite a los desarrolladores exponer un servidor de desarrollo local a Internet. ngrok puede crear un túnel que conecta mediante servidores ngrok a una máquina local. ngrok permite a sus usuarios -por tanto, a los atacantes en este caso- reservar una dirección IP concreta o redirigir a la víctima al dominio del propio atacante en un puerto específico.

Conclusión

Hemos descrito la campaña eXotic Visit, operada por el actor de amenazas Virtual Invaders, que ha estado activa al menos desde finales de 2021. A lo largo de los años, la campaña ha evolucionado. La distribución comenzó en sitios web dedicados y luego incluso se trasladó a la tienda oficial de Google Play.

Hemos identificado el código malicioso utilizado como una versión personalizada de la RAT de código abierto para Android, XploitSPY. La mayoría de las veces se trata de una aplicación de mensajería falsa pero funcional. La campaña ha evolucionado a lo largo de los años para incluir ofuscación, detección de emuladores y ocultación de direcciones de C&C. El objetivo de la campaña es el espionaje y probablemente se dirige a víctimas de Pakistán y la India.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, por favor contáctenos en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Archivos

SHA-1

Filename

ESET detection name

Description

C9AE3CD4C3742CC3353A
F353F96F5C9E8C663734

alphachat.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

89109BCC3EC5B8EC1DC9
C4226338AECDBE4D8DA4

com.appsspot.defcom.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

BB28CE23B3387DE43EFB
08575650A23E32D861B6

com.egoosoft.siminfo-4-apksos.com.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

7282AED684FB1706F026
AA85461FB852891C8849

com.infinitetech.dinkmessenger_v1_3.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

B58C18DB32B72E6C0054
94DE166C291761518E54

com.infinitetechnology.telcodb.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

A17F77C0F98613BF349B
038B9BC353082349C7AA

dinkmessenger.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

991E820274AA02024D45
31581EA7EC6A801C38FA

ChitChat.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

7C7896613EB6B54B9E9A
AD5C19ACC7BF239134D4

ichat.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

17FCEE9A54AD174AF971
3E39C187C91E31162A2F

MyAlbums.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

3F0D58A6BA8C0518C8DF
1567ED9761DC9BDC6C77

PersonalMessenger.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

A7AB289B61353B632227
2C4E7A4C19F49CB799D7

PhotoCollageGridAndPicMaker.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

FA6624F80BE92406A397
B813828B9275C39BCF75

Pics.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

4B8D6B33F3704BDA0E69
368C18B7E218CB7970EE

PrivateChat.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

706E4E701A9A2D42EF35
C08975C79204A73121DC

Shah_jee_Foods__com.electron.secureapp.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

A92E3601328CD9AF3A69
7B5B09E7EF20EDC79F8E

SimInfo.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

6B71D58F8247FFE71AC4
EDFD363E79EE89EDDC21

SpecialistHospital.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

9A92224A0BEF9EFED027
8B70300C8ACC4F7E0D8E

Spotify_Music_and_Podcasts.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

7D50486C150E9E4308D7
6A6BF81788766292AE55

TalkUChat.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

50B896E999FA96B5AEBD
A7FE8E28E116B1760ED5

Themes_for_Android.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

0D9F42CE346090F7957C
A206E5DC5A393FB3513F

wetalk.apk

Android/Spy.XploitSPY.A

XploitSPY malware.

Red

IP

Domain

Hosting provider

First seen

Details

3.13.191[.]225

phpdownload.ngrok[.]io

Amazon.com, Inc.

2022-11-14

C&C server.

3.22.30[.]40

chitchat.ngrok[.]io

wetalk.ngrok[.]io

Amazon.com, Inc.

2022-01-12

Distribution websites.

3.131.123[.]134

3.tcp.ngrok[.]io

Amazon Technologies Inc.

2020-11-18

C&C server.

3.141.160[.]179

zee.xylonn[.]com

Amazon.com, Inc.

2023‑07‑29

C&C server.

195.133.18[.]26

letchitchat[.]info

Serverion LLC

2022‑01‑27

Distribution website.

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 14 del marco MITRE ATT&CK.

Tactic

ID

Name

Description

Persistence

T1624.001

Event Triggered Execution: Broadcast Receivers

XploitSPY registers to receive the BOOT_COMPLETED broadcast intent to activate on device startup.

Defense evasion

T1575

Native API

XploitSPY uses a native library to hide its C&C servers.

T1633.001

Virtualization/Sandbox Evasion: System Checks

XploitSPY can detect whether it is running in an emulator and adjust its behavior accordingly.

Discovery

T1418

Software Discovery

XploitSPY can obtain a list of installed applications.

T1420

File and Directory Discovery

XploitSPY can list files and directories on external storage.

T1426

System Information Discovery

XploitSPY can extract information about the device including device model, device ID, and common system information.

Collection

T1533

Data from Local System

XploitSPY can exfiltrate files from a device.

T1517

Access Notifications

XploitSPY can collect messages from various apps.

T1429

Audio Capture

XploitSPY can record audio from the microphone.

T1414

Clipboard Data

XploitSPY can obtain clipboard contents.

T1430

Location Tracking

XploitSPY tracks device location.

T1636.002

Protected User Data: Call Logs

XploitSPY can extract call logs.

T1636.003

Protected User Data: Contact List

XploitSPY can extract the device’s contact list.

T1636.004

Protected User Data: SMS Messages

XploitSPY can extract SMS messages.

Command and Control

T1437.001

Application Layer Protocol: Web Protocols

XploitSPY uses HTTPS to communicate with its C&C server.

T1509

Non-Standard Port

XploitSPY communicates with its C&C server using HTTPS requests over port 21,572, 28,213, or 21,656.

Exfiltration

T1646

Exfiltration Over C2 Channel

XploitSPY exfiltrates data using HTTPS.