Android steht weltweit wieder im Rampenlicht, da eine aktive Malware-Kampagne namens eXotic Visit weiterhin ahnungslose Benutzer in Mitleidenschaft zieht. Diese Kampagne wurde ursprünglich im November 2021 entdeckt und ist mit keiner bekannten Gruppe oder einem bekannten Bedrohungsakteur verbunden. Forscher des slowakischen Cybersicherheitsunternehmens verfolgen die Gruppe nun unter dem Namen Virtual Invaders.
ESET-Forscher Lukáš Štefanko berichtete, dass auf Android verfügbare kompromittierte Apps scheinbar legitime Funktionen bieten, aber auch schädlichen Code von Android XploitSPY RAT enthalten, einem Open-Source-Remote-Access-Trojaner. Diese Apps waren sogar im Google Play Store mit einer geringen Anzahl von Installationen (zwischen null und 45) vorhanden, bevor sie von der offiziellen Plattform entfernt wurden.
Android ist eine kostenlose Plattform, und einige Benutzer wissen möglicherweise nicht, dass sie Malware heruntergeladen haben, da sich die betroffenen Apps als Messaging-Dienste wie Alpha Chat, ChitChat, Defcom und andere ausgeben und etwa 380 Opfer die Apps heruntergeladen und gestartet haben benutze sie.
Android: Neue ernsthafte Bedrohung entdeckt, die viele Welten in Gefahr bringt
Android wird auch von Apps ins Visier genommen, die an eXotic Visit beteiligt sind: Sim Info und Telco DB, die behaupten, durch Eingabe einer pakistanischen Telefonnummer Informationen über SIM-Besitzer bereitzustellen. XploitSPY, Teil des seit April 2020 auf GitHub hochgeladenen Codes, ist mit einem indischen Unternehmen für Cybersicherheitslösungen verbunden und verfügt über eine breite Palette gefährlicher Funktionen.
Die Malware kann vertrauliche Daten von infizierten Android-Geräten sammeln, etwa GPS-Standorte, Mikrofonaufzeichnungen, Kontakte und SMS-Nachrichten. Es kann auch Benachrichtigungsdetails aus beliebten Apps wie WhatsApp, Facebook, Instagram und Gmail extrahieren und sogar Fotos aufnehmen und auf Dateien aus wichtigen Ordnern zugreifen.
Technisch gesehen sind Malware-Anwendungen so ausgestattet, dass sie der Erkennung durch Verschleierung, Emulatorerkennung und das Verbergen von Befehls- und Kontrollserveradressen entgehen. Der Hauptzweck der eXotic Visit-Kampagne ist laut Forschern Spionage, mit wahrscheinlichen Opfern in Pakistan und Indien.
Android verbreitete diese Malware über speziell gestaltete Websites und gelangte sogar in den offiziellen Google Play Store, was die Notwendigkeit erhöhter Wachsamkeit seitens Android-Nutzern unterstreicht. Daher ist es für Benutzer von entscheidender Bedeutung, Bewertungen zu lesen und nur Apps von vertrauenswürdigen Entwicklern zu installieren, um das Risiko einer Malware-Infektion zu vermeiden.
