AridSpy Mobile Malware
Η ομάδα απειλών στον κυβερνοχώρο, γνωστή ως AridViper, βρίσκεται πίσω από μια σειρά επιχειρήσεων κατασκοπείας για κινητά που χρησιμοποιούν trojanized εφαρμογές Android για τη διανομή μιας παραλλαγής spyware που ονομάζεται AridSpy. Αυτές οι απειλητικές εφαρμογές φιλοξενούνται σε παραπλανητικούς ιστότοπους που παρουσιάζονται ως νόμιμες εφαρμογές ανταλλαγής μηνυμάτων, μια πλατφόρμα αναζήτησης εργασίας, ακόμη και μια εφαρμογή Παλαιστινιακού Μητρώου. Σε πολλές περιπτώσεις, οι νόμιμες εφαρμογές τίθενται σε κίνδυνο με την ενσωμάτωση του κακού κώδικα του AridSpy.
Πίνακας περιεχομένων
Το AridViper έχει μακρά ιστορία απειλών κακόβουλου λογισμικού για κινητά
Η Arid Viper, επίσης γνωστή ως APT-C-23 , Desert Falcon, Grey Karkadann, Mantis και Two-tailed Scorpion, πιστεύεται ότι σχετίζεται με τη Χαμάς. Από την εμφάνισή της το 2017, αυτή η ομάδα χρησιμοποιεί με συνέπεια κακόβουλο λογισμικό για κινητά για τις δραστηριότητές της. Ιστορικά, το Arid Viper έχει βάλει στο στόχαστρο στρατιωτικό προσωπικό, δημοσιογράφους και αντιφρονούντες στη Μέση Ανατολή. Η ομάδα παραμένει ενεργή και εξακολουθεί να αποτελεί απειλή στον τομέα κακόβουλου λογισμικού για κινητά.
Οι πιο πρόσφατες δραστηριότητες συνεχίζονται από το 2022 και περιλαμβάνουν έως και πέντε ξεχωριστές καμπάνιες. Επί του παρόντος, τρεις από αυτές τις καμπάνιες παραμένουν ενεργές.
Το AridSpy διαδίδεται μέσω ψεύτικων εφαρμογών για κινητά που δημιουργήθηκαν από την Threat Actors
Η ανάλυση της τελευταίας επανάληψης του AridSpy αποκαλύπτει την εξέλιξή του σε ένα Trojan πολλαπλών σταδίων ικανό να κατεβάζει πρόσθετα ωφέλιμα φορτία από έναν διακομιστή Command-and-Control (C2) μέσω της αρχικής trojanized εφαρμογής. Η επίθεση στοχεύει κυρίως χρήστες στην Παλαιστίνη και την Αίγυπτο, χρησιμοποιώντας ψεύτικους ιστότοπους ως σημεία διανομής για τις παραβιασμένες εφαρμογές.
Αυτές οι παραπλανητικές εφαρμογές συχνά παρουσιάζονται ως ασφαλείς υπηρεσίες ανταλλαγής μηνυμάτων όπως το LapizaChat, το NortirChat και το ReblyChat, μιμούμενοι νόμιμες πλατφόρμες όπως το StealthChat, το Session και το Voxer Walkie Talkie Messenger. Επιπλέον, μια άλλη εφαρμογή μεταμφιέζεται στο Παλαιστινιακό Δημόσιο Μητρώο.
Ένας από αυτούς τους ιστότοπους, ο palcivilreg.com, που εγγράφηκε στις 30 Μαΐου 2023, προωθείται μέσω μιας ειδικής σελίδας στο Facebook με 179 ακόλουθους. Η εφαρμογή που προσφέρεται σε αυτόν τον ιστότοπο έχει διαμορφωθεί σύμφωνα με μια εφαρμογή με παρόμοια ονομασία που βρίσκεται στο Google Play Store.
Αν και η απειλητική εφαρμογή στο palcivilreg.com δεν είναι άμεσο αντίγραφο της έκδοσης του Google Play Store, χρησιμοποιεί τον νόμιμο διακομιστή της εφαρμογής για τη συλλογή δεδομένων. Αυτό δείχνει ότι το Arid Viper άντλησε έμπνευση από τη λειτουργικότητα της νόμιμης εφαρμογής, αλλά ανέπτυξε το δικό του επίπεδο πελάτη για να αλληλεπιδρά με τον αυθεντικό διακομιστή.
Αλυσίδα επίθεσης του AridSpy Mobile Malware
Κατά την εγκατάσταση, η κακόβουλη εφαρμογή σαρώνει για λογισμικό ασφαλείας στη συσκευή με βάση μια προκαθορισμένη λίστα. Εάν δεν βρεθεί κανένα, προχωρά στη λήψη ενός ωφέλιμου φορτίου πρώτου σταδίου, το οποίο μεταμφιέζεται ως ενημέρωση για τις Υπηρεσίες Google Play.
Αυτό το ωφέλιμο φορτίο λειτουργεί ανεξάρτητα, χωρίς να απαιτείται η παρουσία της trojanized εφαρμογής στην ίδια συσκευή. Επομένως, η απεγκατάσταση της αρχικής trojanized εφαρμογής, όπως το LapizaChat, δεν επηρεάζει το AridSpy. Η κύρια λειτουργία του ωφέλιμου φορτίου πρώτου σταδίου είναι η λήψη του στοιχείου επόμενου σταδίου, το οποίο περιέχει επιβλαβείς λειτουργίες και επικοινωνεί με έναν τομέα Firebase για σκοπούς Command-and-Control (C2).
Το κακόβουλο λογισμικό είναι εξοπλισμένο με διάφορες εντολές για την εξαγωγή δεδομένων από τις μολυσμένες συσκευές και μπορεί να απενεργοποιηθεί ή να ξεκινήσει την εξαγωγή δεδομένων όταν συνδέεται σε ένα πρόγραμμα δεδομένων κινητής τηλεφωνίας. Η εξαγωγή δεδομένων πραγματοποιείται είτε μέσω συγκεκριμένων εντολών είτε μέσω ενεργοποίησης συμβάντων.
Για παράδειγμα, όταν το θύμα κλειδώνει ή ξεκλειδώνει το τηλέφωνο, το AridSpy καταγράφει μια φωτογραφία χρησιμοποιώντας την μπροστινή κάμερα και τη στέλνει στον διακομιστή C&C exfiltration. Ωστόσο, οι εικόνες καταγράφονται μόνο εάν έχουν περάσει περισσότερα από 40 λεπτά από τη λήψη της τελευταίας φωτογραφίας και το επίπεδο της μπαταρίας είναι πάνω από 15%.
