Programari maliciós mòbil AridSpy
El grup d'amenaces cibernètiques conegut com AridViper està darrere d'una sèrie d'operacions d'espionatge mòbil que utilitzen aplicacions d'Android troianitzades per distribuir una variant de programari espia anomenada AridSpy. Aquestes aplicacions amenaçadores s'allotgen en llocs web enganyosos que es fan passar per aplicacions de missatgeria legítimes, una plataforma de recerca de feina i fins i tot una aplicació de registre civil palestí. En molts casos, les aplicacions legítimes es veuen compromeses mitjançant la integració del codi dolent d'AridSpy.
Taula de continguts
AridViper té un llarg historial d'amenaces de programari maliciós mòbil
Es creu que l'Arid Viper, també conegut com APT-C-23 , Desert Falcon, Grey Karkadann, Mantis i Two-tailed Scorpion, està associat amb Hamàs. Des de la seva aparició el 2017, aquest grup ha utilitzat constantment programari maliciós mòbil per a les seves operacions. Històricament, Arid Viper ha tingut com a objectiu personal militar, periodistes i dissidents a l'Orient Mitjà. El grup continua actiu i continua representant una amenaça en el domini del programari maliciós mòbil.
Les activitats més recents estan en curs des del 2022, que inclouen fins a cinc campanyes diferents. Actualment, tres d'aquestes campanyes continuen actives.
AridSpy es propaga mitjançant aplicacions mòbils falses creades per actors d'amenaça
L'anàlisi de l'última iteració d'AridSpy revela la seva evolució cap a un troià multietapa capaç de descarregar càrregues útils addicionals des d'un servidor de comandament i control (C2) mitjançant l'aplicació troiiana inicial. L'atac s'adreça principalment als usuaris de Palestina i Egipte, utilitzant llocs web falsos com a punts de distribució de les aplicacions compromeses.
Aquestes aplicacions enganyoses sovint es plantegen com a serveis de missatgeria segurs com LapizaChat, NortirChat i ReblyChat, imitant plataformes legítimes com StealthChat, Session i Voxer Walkie Talkie Messenger. A més, una altra aplicació es fa passar pel Registre Civil Palestí.
Un d'aquests llocs web, palcivilreg.com, registrat el 30 de maig de 2023, es promociona a través d'una pàgina de Facebook dedicada amb 179 seguidors. L'aplicació que s'ofereix en aquest lloc web té el model d'una aplicació de nom similar que es troba a Google Play Store.
Tot i que l'aplicació amenaçadora a palcivilreg.com no és una còpia directa de la versió de Google Play Store, utilitza el servidor de l'aplicació legítima per recollir dades. Això indica que Arid Viper es va inspirar en la funcionalitat de l'aplicació legítima, però va desenvolupar la seva pròpia capa de client per interactuar amb el servidor genuí.
Cadena d'atac del programari maliciós mòbil AridSpy
Després de la instal·lació, l'aplicació maliciosa busca programari de seguretat al dispositiu en funció d'una llista predefinida. Si no se'n troba cap, es procedeix a la descàrrega d'una càrrega útil de la primera etapa, que es fa passar com una actualització dels serveis de Google Play.
Aquesta càrrega útil funciona de manera independent, no requereix la presència de l'aplicació troianitzada al mateix dispositiu. Per tant, la desinstal·lació de l'aplicació troianitzada inicial, com ara LapizaChat, no afecta AridSpy. La funció principal de la càrrega útil de la primera etapa és descarregar el component de la següent etapa, que conté funcionalitats nocives i es comunica amb un domini de Firebase amb finalitats de comandament i control (C2).
El programari maliciós està equipat amb diverses ordres per extreure dades dels dispositius infectats i pot desactivar-se o iniciar l'exfiltració de dades quan es connecta a un pla de dades mòbils. L'extracció de dades es produeix mitjançant ordres específiques o esdeveniments activats.
Per exemple, quan la víctima bloqueja o desbloqueja el telèfon, AridSpy captura una imatge amb la càmera frontal i l'envia al servidor C&C d'exfiltració. Tanmateix, les imatges només es capturen si han passat més de 40 minuts des que es va fer l'última foto i el nivell de bateria és superior al 15%.
