بدافزار AridSpy Mobile

گروه تهدید سایبری معروف به AridViper پشت یک سری عملیات جاسوسی تلفن همراه است که از برنامه های اندرویدی تروجانی شده برای توزیع یک نرم افزار جاسوسی به نام AridSpy استفاده می کند. این برنامه های تهدیدآمیز در وب سایت های فریبنده ای میزبانی می شوند که به عنوان برنامه های پیام رسانی قانونی، یک پلت فرم جستجوی کار و حتی یک برنامه ثبت احوال فلسطینی ظاهر می شوند. در بسیاری از موارد، برنامه های کاربردی قانونی با یکپارچه سازی کد بد AridSpy به خطر می افتد.

AridViper سابقه طولانی در مورد تهدیدات بدافزار موبایل دارد

اعتقاد بر این است که افعی خشک که با نام‌های APT-C-23 ، Desert Falcon، Gray Karkadann، Mantis و Two-tailed Scorpion نیز شناخته می‌شود، با حماس مرتبط است. از زمان ظهور در سال 2017، این گروه به طور مداوم از بدافزار تلفن همراه برای عملیات خود استفاده کرده است. از لحاظ تاریخی، Arid Viper پرسنل نظامی، روزنامه نگاران و مخالفان در خاورمیانه را هدف قرار داده است. این گروه همچنان فعال است و همچنان تهدیدی را در حوزه بدافزار موبایل ایجاد می کند.

فعالیت‌های جدیدتر از سال 2022 ادامه داشته است و شامل پنج کمپین مجزا است. در حال حاضر، سه مورد از این کمپین ها فعال هستند.

AridSpy از طریق برنامه های موبایل جعلی ایجاد شده توسط بازیگران تهدید پخش می شود

تجزیه و تحلیل آخرین نسخه از AridSpy تکامل آن را به یک تروجان چند مرحله ای نشان می دهد که قادر به دانلود بارهای اضافی از یک سرور Command-and-Control (C2) از طریق برنامه تروجانی شده اولیه است. این حمله عمدتاً کاربران فلسطینی و مصری را هدف قرار می دهد و از وب سایت های جعلی به عنوان نقاط توزیع برای برنامه های در معرض خطر استفاده می کند.

این برنامه های فریبنده اغلب به عنوان سرویس های پیام رسانی ایمن مانند LapizaChat، NortirChat و ReblyChat ظاهر می شوند که از پلتفرم های قانونی مانند StealthChat، Session و Voxer Walkie Talkie Messenger تقلید می کنند. علاوه بر این، یک برنامه دیگر به عنوان ثبت احوال فلسطین ظاهر می شود.

یکی از این وب سایت ها، palcivilreg.com، ثبت شده در 30 می 2023، از طریق یک صفحه اختصاصی فیس بوک با 179 دنبال کننده تبلیغ می شود. برنامه ارائه شده در این وب سایت از یک برنامه با نام مشابه که در فروشگاه Google Play یافت شده است، الگوبرداری شده است.

اگرچه برنامه تهدید آمیز در palcivilreg.com یک کپی مستقیم از نسخه فروشگاه Google Play نیست، اما از سرور برنامه قانونی برای جمع آوری داده ها استفاده می کند. این نشان می دهد که Arid Viper از عملکرد برنامه قانونی الهام گرفته است اما لایه مشتری خود را برای تعامل با سرور واقعی توسعه داده است.

زنجیره حمله بدافزار موبایل AridSpy

پس از نصب، برنامه مخرب نرم افزار امنیتی دستگاه را بر اساس لیست از پیش تعریف شده اسکن می کند. اگر هیچ موردی پیدا نشد، بارگیری مرحله اول را شروع می کند که به عنوان یک به روز رسانی برای خدمات Google Play ظاهر می شود.

این محموله به طور مستقل عمل می کند و نیازی به حضور برنامه تروجانیزه شده در همان دستگاه ندارد. بنابراین، حذف برنامه تروجانی شده اولیه، مانند LapizaChat، بر AridSpy تأثیر نمی گذارد. وظیفه اصلی بارگیری مرحله اول دانلود کامپوننت مرحله بعدی است که شامل عملکردهای مضر است و با دامنه Firebase برای اهداف Command-and-Control (C2) ارتباط برقرار می کند.

این بدافزار به دستورات مختلفی برای استخراج داده‌ها از دستگاه‌های آلوده مجهز شده است و می‌تواند خود را غیرفعال کند یا هنگام اتصال به یک برنامه داده تلفن همراه، استخراج داده‌ها را آغاز کند. استخراج داده ها یا از طریق دستورات خاص یا رویدادهای آغاز شده انجام می شود.

به عنوان مثال، زمانی که قربانی گوشی را قفل یا باز می کند، AridSpy با استفاده از دوربین جلو عکسی می گیرد و آن را به سرور C&C exfiltration ارسال می کند. با این حال، تصاویر تنها در صورتی ثبت می شوند که از آخرین عکس گرفته شده بیش از 40 دقیقه گذشته باشد و سطح باتری بالای 15 درصد باشد.