“eXotic Visit” Indiába(n) és Pakisztánba(n)

Az “eXotic Visit” kampány egy 2021 novembere óta tartó, elsősorban indiai és pakisztáni Android-felhasználókat célzó rosszindulatú szoftveres művelet. A kampány dedikált weboldalakon, sőt a Google Play Store-on keresztül terjesztett, rosszindulatú szoftverekkel teli alkalmazásokat tartalmaz, amelyek legitim funkciókat kínálnak, de a nyílt forráskódú Android XploitSPY Remote Access Trojan (RAT) rosszindulatú kódját ágyazzák be. Annak ellenére, hogy ezek az alkalmazások, köztük különböző hamis üzenetküldő és segédprogram-alkalmazások, a Google Playben elérhetőek, nagyon kevés letöltést vonzottak, ami rendkívül célzott megközelítésre utal.

A beágyazott XploitSPY nevű rosszindulatú szoftver kiterjedt megfigyelési tevékenységekre képes, beleértve a GPS-helyszínek, mikrofonfelvételek, SMS-üzenetek, hívásnaplók rögzítését, valamint az olyan népszerű alkalmazásokból, mint a WhatsApp és a Facebook, származó információk kinyerését. Ez a rosszindulatú szoftver fényképek készítésére, fájlok letöltésére és kritikus parancs- és vezérlőszerver-információk elrejtésére szolgáló funkciókkal is rendelkezik, ami ellenállóvá teszi a statikus elemzőeszközökkel szemben. Az Alpha Chat és Signal Lite nevek alatt álcázott alkalmazások mintegy 380 felhasználót tévesztettek meg, akik letöltötték és kommunikációs célokra használták ezeket az alkalmazásokat.

Az ESET szlovák kiberbiztonsági cég által “Virtual Invaders”-nek nevezett kampány (ESET belső elnevezés) üzemeltetői nem kapcsolódnak egyetlen ismert fenyegető szereplőhöz vagy csoporthoz sem. A kártevő kifinomultsága és célzott jellege azonban magas szintű tervezésre és konkrét kémkedési célokra utal.

(forrás)