AridSpy Mobile Malware
Групата за киберзаплахи, известна като AridViper, стои зад серия от операции за мобилен шпионаж, използващи троянизирани приложения за Android за разпространение на вариант на шпионски софтуер, наречен AridSpy. Тези заплашителни приложения се хостват на измамни уебсайтове, представящи се за легитимни приложения за съобщения, платформа за търсене на работа и дори приложение за граждански регистър на Палестина. В много случаи легитимните приложения са компрометирани чрез интегриране на лош код на AridSpy.
Съдържание
AridViper има дълга история на заплахи от злонамерен софтуер за мобилни устройства
Смята се, че сухата усойница, известна още като APT-C-23 , пустинен сокол, сив каркадан, богомолка и двуопашат скорпион, е свързана с Хамас. От появата си през 2017 г. тази група последователно използва мобилен зловреден софтуер за своите операции. Исторически погледнато, Arid Viper е бил насочен към военен персонал, журналисти и дисиденти в Близкия изток. Групата продължава да е активна и продължава да представлява заплаха в домейна на мобилния зловреден софтуер.
По-новите дейности продължават от 2022 г. насам, като включват до пет отделни кампании. В момента три от тези кампании остават активни.
AridSpy се разпространява чрез фалшиви мобилни приложения, създадени от заплахи
Анализът на най-новата итерация на AridSpy разкрива еволюцията му в многоетапен троянски кон, способен да изтегля допълнителни полезни данни от сървър за командване и управление (C2) чрез първоначалното троянизирано приложение. Атаката е насочена основно към потребители в Палестина и Египет, използвайки фалшиви уебсайтове като точки за разпространение на компрометираните приложения.
Тези измамни приложения често се представят за сигурни услуги за съобщения като LapizaChat, NortirChat и ReblyChat, имитиращи законни платформи като StealthChat, Session и Voxer Walkie Talkie Messenger. Освен това друго приложение се маскира като Палестинския граждански регистър.
Един от тези уебсайтове, palcivilreg.com, регистриран на 30 май 2023 г., се популяризира чрез специална страница във Facebook със 179 последователи. Приложението, предлагано на този уебсайт, е моделирано след приложение с подобно име, намерено в Google Play Store.
Въпреки че заплашителното приложение на palcivilreg.com не е директно копие на версията на Google Play Store, то използва сървъра на законното приложение, за да събира данни. Това показва, че Arid Viper е почерпил вдъхновение от функционалността на легитимното приложение, но е разработил собствен клиентски слой за взаимодействие с оригиналния сървър.
Верига от атаки на AridSpy Mobile Malware
При инсталиране злонамереното приложение сканира за защитен софтуер на устройството въз основа на предварително определен списък. Ако не бъде намерен такъв, той продължава да изтегля полезен товар от първи етап, който се маскира като актуализация за услугите на Google Play.
Този полезен товар работи независимо, без да изисква присъствието на троянизираното приложение на същото устройство. Следователно деинсталирането на първоначалното троянизирано приложение, като LapizaChat, не засяга AridSpy. Основната функция на полезния товар на първия етап е да изтегли компонента на следващия етап, който съдържа вредни функционалности и комуникира с домейн на Firebase за целите на командването и контрола (C2).
Зловреден софтуер е снабден с различни команди за извличане на данни от заразените устройства и може да се деактивира или да инициира извличане на данни, когато е свързан към мобилен план за данни. Извличането на данни става или чрез конкретни команди, или чрез задействани събития.
Например, когато жертвата заключи или отключи телефона, AridSpy заснема снимка с помощта на предната камера и я изпраща до C&C сървъра за ексфилтрация. Изображенията обаче се заснемат само ако са минали повече от 40 минути от последната направена снимка и нивото на батерията е над 15%.
