AridSpy mobiili pahavara
AridViperi nime all tuntud küberohurühm on paljude mobiilsete spionaažioperatsioonide taga, kasutades troojastatud Androidi rakendusi, et levitada AridSpy-nimelist nuhkvaravarianti. Neid ähvardavaid rakendusi majutatakse petlikel veebisaitidel, mis kujutavad endast seaduslikke sõnumsiderakendusi, tööotsingu platvormi ja isegi Palestiina perekonnaregistri rakendusi. Paljudel juhtudel kahjustab AridSpy halva koodi integreerimine seaduslikke rakendusi.
Sisukord
AridViperil on pikaajaline mobiilse pahavara ohtude ajalugu
Arid Viper, tuntud ka kui APT-C-23 , Desert Falcon, Grey Karkadann, Mantis ja Two-taled Scorpion, on arvatavasti seotud Hamasiga. Alates selle ilmumisest 2017. aastal on see grupp oma tegevuses järjekindlalt kasutanud mobiilset pahavara. Ajalooliselt on Arid Viper võtnud sihikule Lähis-Ida sõjaväelased, ajakirjanikud ja teisitimõtlejad. Rühm on endiselt aktiivne ja kujutab endast jätkuvalt ohtu mobiilse pahavara domeenis.
Uuemad tegevused on kestnud alates 2022. aastast, hõlmates kuni viit erinevat kampaaniat. Praegu on kolm neist kampaaniatest aktiivsed.
AridSpy levib võltsitud mobiilirakenduste kaudu, mille on loonud ohunäitlejad
AridSpy uusima iteratsiooni analüüs näitab, et see areneb mitmeastmeliseks troojalaseks, mis suudab esialgse troojalase rakenduse kaudu alla laadida täiendavaid koormusi Command-and-Control (C2) serverist. Rünnak on suunatud peamiselt Palestiina ja Egiptuse kasutajatele, kasutades võltsitud veebisaite ohustatud rakenduste levitamispunktidena.
Need petlikud rakendused kujutavad endast sageli turvalisi sõnumsideteenuseid, nagu LapizaChat, NortirChat ja ReblyChat, jäljendades seaduslikke platvorme, nagu StealthChat, Session ja Voxer Walkie Talkie Messenger. Lisaks maskeeritakse veel üks rakendus Palestiina perekonnaseisuregistriks.
Ühte neist veebisaitidest palcivilreg.com, mis registreeriti 30. mail 2023, reklaamitakse spetsiaalse Facebooki lehe kaudu, millel on 179 jälgijat. Sellel veebisaidil pakutav rakendus on loodud Google Play poest leitud sarnase nimega rakenduse järgi.
Kuigi ähvardav rakendus saidil palcivilreg.com ei ole Google Play poe versiooni otsene koopia, kasutab see andmete kogumiseks seadusliku rakenduse serverit. See näitab, et Arid Viper ammutas inspiratsiooni seadusliku rakenduse funktsionaalsusest, kuid töötas välja oma kliendikihi, et suhelda ehtsa serveriga.
AridSpy mobiili pahavara ründeahel
Paigaldamisel otsib pahatahtlik rakendus eelnevalt määratletud loendi alusel seadme turvatarkvara. Kui neid ei leita, laadib see alla esimese etapi kasuliku koormuse, mis maskeeritakse Google Play teenuste värskendusena.
See kasulik koormus töötab iseseisvalt, ei nõua troojastatud rakenduse olemasolu samas seadmes. Seetõttu ei mõjuta algse Trooja rakenduse (nt LapizaChat) desinstallimine AridSpyt. Esimese astme kasuliku koormuse peamine ülesanne on alla laadida järgmise etapi komponent, mis sisaldab kahjulikke funktsioone ja suhtleb Firebase'i domeeniga käsu-ja juhtimise (C2) eesmärkidel.
Pahavara on varustatud erinevate käskudega nakatunud seadmetest andmete eraldamiseks ja võib mobiilse andmesidepaketiga ühenduses olles ise deaktiveerida või algatada andmete väljafiltreerimise. Andmete ekstraheerimine toimub kas konkreetsete käskude või käivitatud sündmuste kaudu.
Näiteks kui ohver lukustab või avab telefoni, jäädvustab AridSpy esikaameraga pildi ja saadab selle eksfiltratsiooni C&C serverisse. Pilte jäädvustatakse aga ainult siis, kui viimasest pildistamisest on möödunud rohkem kui 40 minutit ja aku laetuse tase on üle 15%.
