AridSpy Mobile Malware
Skupina kybernetických hrozeb známá jako AridViper stojí za řadou mobilních špionážních operací využívajících trojanizované aplikace pro Android k distribuci varianty spywaru s názvem AridSpy. Tyto výhružné aplikace jsou hostovány na podvodných webových stránkách, které se vydávají za legitimní aplikace pro zasílání zpráv, platformu pro hledání zaměstnání a dokonce i aplikaci palestinského občanského rejstříku. V mnoha případech jsou legitimní aplikace kompromitovány integrací špatného kódu AridSpy.
Obsah
AridViper má dlouhou historii mobilních malwarových hrozeb
Vyprahlé zmije, také známé jako APT-C-23 , Desert Falcon, Grey Karkadann, Mantis a Two-tailed Scorpion, jsou považovány za spojované s Hamasem. Od svého vzniku v roce 2017 tato skupina pro své operace důsledně využívá mobilní malware. Historicky se Arid Viper zaměřoval na vojenský personál, novináře a disidenty na Blízkém východě. Skupina zůstává aktivní a nadále představuje hrozbu v doméně mobilního malwaru.
Novější aktivity probíhají od roku 2022 a zahrnují až pět různých kampaní. V současné době zůstávají aktivní tři z těchto kampaní.
AridSpy se šíří prostřednictvím falešných mobilních aplikací vytvořených Threat Actors
Analýza nejnovější iterace AridSpy odhaluje jeho vývoj ve vícestupňového trojského koně schopného stahovat další užitečné zatížení ze serveru Command-and-Control (C2) prostřednictvím počáteční trojanizované aplikace. Útok se primárně zaměřuje na uživatele v Palestině a Egyptě a využívá falešné webové stránky jako distribuční místa pro napadené aplikace.
Tyto klamavé aplikace se často tváří jako zabezpečené služby pro zasílání zpráv, jako jsou LapizaChat, NortirChat a ReblyChat, napodobující legitimní platformy jako StealthChat, Session a Voxer Walkie Talkie Messenger. Další aplikace se navíc maskuje jako palestinský občanský rejstřík.
Jedna z těchto webových stránek, palcivilreg.com, registrovaná 30. května 2023, je propagována prostřednictvím vyhrazené facebookové stránky se 179 sledujícími. Aplikace nabízená na tomto webu je po vzoru podobně pojmenované aplikace, kterou najdete v Obchodě Google Play.
Přestože hrozivá aplikace na palcivilreg.com není přímou kopií verze obchodu Google Play, ke shromažďování dat využívá server legitimní aplikace. To naznačuje, že Arid Viper čerpal inspiraci z funkcí legitimní aplikace, ale vyvinul vlastní vrstvu klienta pro interakci s pravým serverem.
Útokový řetězec mobilního malwaru AridSpy
Po instalaci škodlivá aplikace vyhledá bezpečnostní software v zařízení na základě předem definovaného seznamu. Pokud nejsou žádné nalezeny, pokračuje stahováním datové části první fáze, která se maskuje jako aktualizace Služeb Google Play.
Toto užitečné zatížení funguje nezávisle a nevyžaduje přítomnost trojanizované aplikace na stejném zařízení. Proto odinstalování původní trojanizované aplikace, jako je LapizaChat, neovlivní AridSpy. Primární funkcí datové části první fáze je stažení komponenty další fáze, která obsahuje škodlivé funkce a komunikuje s doménou Firebase pro účely Command-and-Control (C2).
Malware je vybaven různými příkazy pro extrakci dat z infikovaných zařízení a může se deaktivovat nebo zahájit exfiltraci dat, když je připojen k mobilnímu datovému tarifu. K extrakci dat dochází buď prostřednictvím specifických příkazů nebo spuštěných událostí.
Když například oběť zamkne nebo odemkne telefon, AridSpy pořídí snímek pomocí přední kamery a odešle jej na exfiltrační C&C server. Snímky se však pořizují pouze v případě, že od posledního pořízení snímku uplynulo více než 40 minut a úroveň nabití baterie je vyšší než 15 %.
