Operación Virtual Invaders: campaña Spyware ‘eXotic Visit’ ataca a usuarios de Android de Asia

Una nueva campaña de Spyware denominada «eXotic Visit» ha emergido, apuntando específicamente a usuarios de dispositivos Android en India y Pakistán. Distribuido a través de sitios web especializados y la Google Play Store.

Según investigadores de la firma de seguridad informática eslovaca ESET, eXotic Visit ha estado activo desde noviembre de 2021. A diferencia de muchas otras campañas de malware, no se ha identificado una conexión directa entre esta actividad y algún actor o grupo de amenazas conocido previamente. Por ello, los investigadores han bautizado al grupo detrás de esta operación como «Virtual Invaders».

Las aplicaciones infectadas, a pesar de ofrecer funcionalidades legítimas, contienen código del Remote Access Trojan (RAT) XploitSPY, disponible en código abierto para Android. Las aplicaciones maliciosas se presentaron bajo la fachada de servicios de mensajería conocidos y otros utilitarios, incluyendo nombres como Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat.

El RAT XploitSPY, disponible en GitHub desde abril de 2020, fue desarrollado por RaoMK y está vinculado con una empresa de seguridad informática india, XploitWizer. Este software malicioso es conocido por su capacidad para recolectar una amplia gama de datos sensibles de los dispositivos infectados, incluyendo ubicaciones GPS, grabaciones de micrófono, contactos, mensajes SMS, registros de llamadas, y mucho más.

A lo largo de los años,  su código malicioso ha  evolucionado agregando ofuscación, detección de emuladores, ocultación de direcciones [de comando y control] y uso de  biblioteca nativa. Esta es una evolución continua en las tácticas utilizadas para evitar la detección y análisis.

La campaña eXotic Visit resalta la creciente amenaza del spyware en dispositivos móviles, especialmente en regiones con disputas geopolíticas como el sur de Asia. La eliminación de las aplicaciones infectadas de la Google Play Store es un paso positivo, pero subraya la importancia de una vigilancia continua y el desarrollo de estrategias de seguridad más robustas para proteger a los usuarios contra tales amenazas.

Más información:

https://thehackernews.com/2024/04/exotic-visit-spyware-campaign-targets.html

https://koodous.com/share/85f19340e1275cb402b900e59d59f52a42c24e77363d27fcf6f5d7ab1f75fb88/general-information

https://koodous.com/share/6b7de2fa553dbfce80c9b6e99dae35c69593e9dc55a0100fe84dd0c36047f676/general-information

https://koodous.com/share/6a9280052b761463d0ee3ced0f18635645a2c076619ee461fd1060bb9fdce165/general-information

https://koodous.com/share/629fa206b1bd9b5a97e00e992dcdf4b8a15b23bd820d748d2815d19d272a9fa1/general-information

https://koodous.com/share/81c7de859758a90fb002af857a3612f762f3b18f7a9e2048dba354342f80af86/general-information

https://koodous.com/share/ad643363e46afffdecefa077c4fcfc71f411cd0856e4adcea12a8c08216f07fb/general-information

La entrada Operación Virtual Invaders: campaña Spyware ‘eXotic Visit’ ataca a usuarios de Android de Asia se publicó primero en Una al Día.

Artículo de Hispasec publicado en https://unaaldia.hispasec.com/2024/04/operacion-virtual-invaders-campana-spyware-exotic-visit-ataca-a-usuarios-de-android-de-asia.html?utm_source=rss&utm_medium=rss&utm_campaign=operacion-virtual-invaders-campana-spyware-exotic-visit-ataca-a-usuarios-de-android-de-asia