Une nouvelle campagne d'espionnage Android via des applications de messagerie a été découverte
Les chercheurs d'ESET ont identifié une campagne d'espionnage ciblant des utilisateurs d'Android au moyen d'applications se présentant principalement comme des services de messagerie. Bien que ces applications offrent des fonctionnalités apparemment légitimes, elles sont en réalité associées au logiciel malveillant open source XploitSPY. Les applications Android malveillantes ont été diffusées à travers des sites Web dédiés ainsi que sur le Google Play Store.
Cette campagne, nommée eXotic Visit par ESET, a été suivie de novembre 2021 à fin 2023. Elle semble principalement cibler un groupe restreint d'utilisateurs Android au Pakistan et en Inde. En raison de ce ciblage spécifique, les applications disponibles sur Google Play ont été peu téléchargées (entre zéro et 45) et ont toutes été retirées du magasin. Les informations recueillies ne permettent pas pour le moment à ESET d'attribuer cette attaque à un groupe précis.
Les applications nommées Dink Messenger, Sim Info et Defcom ont été retirées du Google Play. Partenaire de la Google App Defense Alliance, ESET a notifié Google à la suite de la découverte de dix autres applications qui utilisent du code émanant d'XploitSPY. Au total, environ 380 individus ont été affectés par ces applications. Celles-ci furent téléchargées depuis divers sites Web et le Google Play Store.
Les applications reposant sur XploitSPY peuvent extraire des listes de contacts ; récupérer les données de géolocalisation. Elles peuvent accéder aux noms de fichiers stockés dans des répertoires spécifiques liés à diverses applications de messagerie telles que Telegram et WhatsApp, ainsi qu'à ceux associés à l'appareil photo et aux téléchargements. En cas d'identification de noms de fichiers pertinents, ces derniers sont extraits des répertoires via une demande du serveur de commande et de contrôle (C&C). ESET note qu'une fonctionnalité de chat est apparue dans XploitSPY, celle-ci est unique, suggérant fortement que cette fonction a été développée par le groupe d'attaquants.
Le malware exploite également une bibliothèque système, fréquemment employée dans le développement d'applications Android, pour optimiser leurs performances et accéder aux fonctionnalités du système. Cependant, dans ce contexte, cette bibliothèque est exploitée pour masquer des informations sensibles, telles que les adresses des serveurs C&C, compliquant ainsi l'analyse de l'application par les outils de sécurité.