البرامج الضارة لـ AridSpy للأجهزة المحمولة
تقف مجموعة التهديد السيبراني المعروفة باسم AridViper وراء سلسلة من عمليات التجسس على الأجهزة المحمولة التي تستخدم تطبيقات Android المصابة بفيروس طروادة لتوزيع متغير برنامج تجسس يسمى AridSpy. تتم استضافة تطبيقات التهديد هذه على مواقع ويب خادعة تتظاهر بأنها تطبيقات مراسلة مشروعة، ومنصة للبحث عن وظائف، وحتى تطبيق السجل المدني الفلسطيني. في كثير من الحالات، يتم اختراق التطبيقات الشرعية من خلال دمج كود AridSpy السيئ.
جدول المحتويات
لدى AridViper تاريخ طويل من تهديدات البرامج الضارة على الأجهزة المحمولة
يُعتقد أن Arid Viper، المعروف أيضًا باسم APT-C-23 ، وDesert Falcon، وGray Karkadann، وMantis، وTwo-tailed Scorpion، مرتبط بحماس. منذ ظهورها في عام 2017، استخدمت هذه المجموعة باستمرار البرامج الضارة المحمولة في عملياتها. تاريخيًا، استهدفت Arid Viper الأفراد العسكريين والصحفيين والمعارضين في الشرق الأوسط. لا تزال المجموعة نشطة وتستمر في تشكيل تهديد في مجال البرامج الضارة على الأجهزة المحمولة.
وتستمر الأنشطة الأحدث منذ عام 2022، وتتألف من ما يصل إلى خمس حملات متميزة. حاليًا، لا تزال ثلاث من هذه الحملات نشطة.
يتم نشر AridSpy عبر تطبيقات الهاتف المحمول الزائفة التي أنشأها ممثلو التهديد
يكشف تحليل الإصدار الأخير من AridSpy عن تطوره إلى حصان طروادة متعدد المراحل قادر على تنزيل حمولات إضافية من خادم القيادة والتحكم (C2) من خلال تطبيق حصان طروادة الأولي. ويستهدف الهجوم في المقام الأول المستخدمين في فلسطين ومصر، وذلك باستخدام مواقع الويب المزيفة كنقاط توزيع للتطبيقات المخترقة.
غالبًا ما تظهر هذه التطبيقات الخادعة كخدمات مراسلة آمنة مثل LapizaChat وNortirChat وReblyChat، وتحاكي المنصات الشرعية مثل StealthChat وSession وVoxer Walkie Talkie Messenger. بالإضافة إلى ذلك، هناك تطبيق آخر يتنكر تحت اسم السجل المدني الفلسطيني.
ويتم الترويج لأحد هذه المواقع، وهو palcivilreg.com، المسجل في 30 مايو 2023، من خلال صفحة مخصصة على فيسبوك تضم 179 متابعًا. تم تصميم التطبيق المعروض على موقع الويب هذا على غرار تطبيق يحمل نفس الاسم موجود على متجر Google Play.
على الرغم من أن تطبيق التهديد الموجود على palcivilreg.com ليس نسخة مباشرة من إصدار متجر Google Play، إلا أنه يستخدم خادم التطبيق الشرعي لجمع البيانات. يشير هذا إلى أن Arid Viper استمد الإلهام من وظائف التطبيق الشرعي ولكنه طور طبقة العميل الخاصة به للتفاعل مع الخادم الأصلي.
سلسلة الهجوم الخاصة بالبرنامج الضار AridSpy Mobile
عند التثبيت، يقوم التطبيق الضار بالبحث عن برامج الأمان الموجودة على الجهاز بناءً على قائمة محددة مسبقًا. إذا لم يتم العثور على أي شيء، فسيتم المضي قدمًا في تنزيل حمولة المرحلة الأولى، والتي تتنكر في شكل تحديث لخدمات Google Play.
تعمل هذه الحمولة بشكل مستقل، ولا تتطلب وجود تطبيق حصان طروادة على نفس الجهاز. لذلك، فإن إلغاء تثبيت التطبيق الأولي المصاب بفيروس طروادة، مثل LapizaChat، لا يؤثر على AridSpy. تتمثل الوظيفة الأساسية لحمولة المرحلة الأولى في تنزيل مكون المرحلة التالية، الذي يحتوي على وظائف ضارة ويتواصل مع مجال Firebase لأغراض القيادة والتحكم (C2).
تم تجهيز البرامج الضارة بأوامر مختلفة لاستخراج البيانات من الأجهزة المصابة ويمكنها إلغاء تنشيط نفسها أو بدء عملية استخراج البيانات عند الاتصال بخطة بيانات الهاتف المحمول. يتم استخراج البيانات إما من خلال أوامر محددة أو أحداث يتم تشغيلها.
على سبيل المثال، عندما يقوم الضحية بقفل الهاتف أو فتحه، يلتقط AridSpy صورة باستخدام الكاميرا الأمامية ويرسلها إلى خادم C&C الخاص بالتصفية. ومع ذلك، لا يتم التقاط الصور إلا إذا مر أكثر من 40 دقيقة منذ التقاط آخر صورة، وكان مستوى البطارية أعلى من 15%.
