AridSpy Mobile Malware
Cybertrusselgruppen kendt som AridViper står bag en række mobilspionageoperationer, der anvender trojanske Android-applikationer til at distribuere en spywarevariant ved navn AridSpy. Disse truende applikationer hostes på vildledende websteder, der udgiver sig for at være legitime beskedapps, en jobsøgningsplatform og endda en ansøgning om palæstinensisk civilregister. I mange tilfælde kompromitteres legitime applikationer ved at integrere AridSpys dårlige kode.
Indholdsfortegnelse
AridViper har en lang historie med mobile malware-trusler
Arid Viper, også kendt som APT-C-23 , Desert Falcon, Grey Karkadann, Mantis og Two-tailed Scorpion, menes at være forbundet med Hamas. Siden dens fremkomst i 2017 har denne gruppe konsekvent brugt mobil malware til sine operationer. Historisk set har Arid Viper målrettet militært personel, journalister og dissidenter i Mellemøsten. Gruppen fortsætter med at være aktiv og udgør en trussel i det mobile malware-domæne.
De nyere aktiviteter har været i gang siden 2022, omfattende op til fem forskellige kampagner. I øjeblikket forbliver tre af disse kampagner aktive.
AridSpy spredes via falske mobilapplikationer oprettet af Threat Actors
Analyse af den seneste iteration af AridSpy afslører dens udvikling til en flertrins trojaner, der er i stand til at downloade yderligere nyttelast fra en Command-and-Control-server (C2) gennem den første trojaniserede applikation. Angrebet retter sig primært mod brugere i Palæstina og Egypten og bruger falske websteder som distributionspunkter for de kompromitterede applikationer.
Disse vildledende applikationer fremstår ofte som sikre beskedtjenester såsom LapizaChat, NortirChat og ReblyChat, der efterligner legitime platforme som StealthChat, Session og Voxer Walkie Talkie Messenger. Derudover forklæder en anden app sig som det palæstinensiske civilregister.
Et af disse websteder, palcivilreg.com, registreret den 30. maj 2023, promoveres gennem en dedikeret Facebook-side med 179 følgere. Den app, der tilbydes på denne hjemmeside, er modelleret efter en app med samme navn, som findes i Google Play Butik.
Selvom den truende applikation på palcivilreg.com ikke er en direkte kopi af versionen af Google Play Butik, bruger den den legitime apps server til at indsamle data. Dette indikerer, at Arid Viper hentede inspiration fra den legitime apps funktionalitet, men udviklede sit eget klientlag til at interagere med den ægte server.
Angrebskæde af AridSpy Mobile Malware
Efter installationen scanner den ondsindede applikation efter sikkerhedssoftware på enheden baseret på en foruddefineret liste. Hvis ingen findes, fortsætter den med at downloade en første-trins nyttelast, som forklæder sig som en opdatering til Google Play Services.
Denne nyttelast fungerer uafhængigt og kræver ikke tilstedeværelsen af den trojaniserede applikation på den samme enhed. Afinstallation af det oprindelige trojaniserede program, såsom LapizaChat, påvirker derfor ikke AridSpy. Den primære funktion af det første trins nyttelast er at downloade komponenten i næste trin, som indeholder skadelige funktionaliteter og kommunikerer med et Firebase-domæne til Command-and-Control (C2) formål.
Malwaren er udstyret med forskellige kommandoer til at udtrække data fra de inficerede enheder og kan deaktivere sig selv eller starte dataeksfiltrering, når den er tilsluttet en mobildataplan. Dataudtræk sker enten gennem specifikke kommandoer eller udløste hændelser.
For eksempel, når offeret låser eller låser telefonen op, tager AridSpy et billede ved hjælp af frontkameraet og sender det til eksfiltrations C&C-serveren. Billederne tages dog kun, hvis der er gået mere end 40 minutter siden sidste billede blev taget, og batteriniveauet er over 15 %.
