Una campaña de malware para Android conocida como eXotic Visit ha dirigido su atención a los usuarios del sur de Asia, especialmente de India y Pakistán, a través de sitios web dedicados y Google Play. La actividad, que comenzó en noviembre de 2021, no está relacionada con ningún actor o grupo de amenazas conocido y está siendo rastreada por la firma de ciberseguridad eslovaca bajo el nombre de Invaders Virtuales. La campaña es altamente selectiva en su naturaleza y las aplicaciones disponibles en Google Play tienen un número insignificante de instalaciones que van de cero a 45. Las aplicaciones han sido retiradas desde entonces.
Se ha descubierto que las aplicaciones descargadas proporcionan funcionalidad legítima, pero también incluyen código de troyanos de Android de código abierto como XploitSPY RAT. Estas aplicaciones falsas pero funcionales se hacen pasar principalmente por servicios de mensajería y han sido utilizadas para espiar a aproximadamente 380 víctimas.
La lista de aplicaciones utilizadas incluye Alpha Chat, ChitChat, Defcom, Dink Messenger, Signal Lite, TalkU, WeTalk, Wicker Messenger y Zaangi Chat. También se emplearon aplicaciones como Sim Info y Telco DB, ambas afirman proporcionar detalles sobre los propietarios de las SIM simplemente ingresando un número de teléfono con sede en Pakistán. Otras aplicaciones se hacen pasar por un servicio de pedidos de comida en Pakistán, así como por un hospital indio legítimo.
XploitSPY, subido a GitHub en abril de 2020, viene con una amplia gama de características que le permiten recopilar datos sensibles de los dispositivos infectados y ha sido asociado con una empresa india de soluciones de seguridad cibernética llamada XploitWizer. El objetivo principal de la campaña es el espionaje y probablemente está dirigido a víctimas de Pakistán e India.
Vía The Hacker News
