AridSpy Mobile -haittaohjelma
AridViper-niminen kyberuhkaryhmä on useiden mobiilivakoiluoperaatioiden takana, jotka käyttävät troijalaisia Android-sovelluksia jakelemaan AridSpy-nimistä vakoiluohjelmaversiota. Näitä uhkaavia sovelluksia isännöidään petollisilla verkkosivustoilla, jotka esiintyvät laillisina viestisovelluksina, työnhakualustana ja jopa Palestiinan kansalaisrekisterisovelluksena. Monissa tapauksissa lailliset sovellukset vaarantuvat integroimalla AridSpyn huono koodi.
Sisällysluettelo
AridViperillä on pitkä historia mobiilihaittaohjelmien uhista
Arid Viper, joka tunnetaan myös nimellä APT-C-23 , Desert Falcon, Grey Karkadann, Mantis ja Two-taled Scorpion, uskotaan liittyvän Hamasiin. Tämä ryhmä on vuodesta 2017 lähtien käyttänyt jatkuvasti mobiilihaittaohjelmia toiminnassaan. Historiallisesti Arid Viper on kohdistanut sotilashenkilöstöä, toimittajia ja toisinajattelijoita Lähi-idässä. Ryhmä on edelleen aktiivinen ja muodostaa edelleen uhan mobiilihaittaohjelmien alueella.
Uusimmat toimet ovat jatkuneet vuodesta 2022 lähtien, ja ne käsittävät jopa viisi erillistä kampanjaa. Tällä hetkellä kolme näistä kampanjoista on edelleen aktiivisia.
AridSpy leviää uhkatoimijoiden luomien väärennettyjen mobiilisovellusten kautta
AridSpyn uusimman iteraation analyysi paljastaa sen kehittymisen monivaiheiseksi troijalaiseksi, joka pystyy lataamaan lisää hyötykuormia Command-and-Control (C2) -palvelimelta alkuperäisen troijalaissovelluksen kautta. Hyökkäys kohdistuu ensisijaisesti Palestiinassa ja Egyptissä oleviin käyttäjiin, jotka käyttävät väärennettyjä verkkosivustoja vaarantuneiden sovellusten jakelupisteinä.
Nämä petolliset sovellukset esiintyvät usein turvallisina viestintäpalveluina, kuten LapizaChat, NortirChat ja ReblyChat, jotka jäljittelevät laillisia alustoja, kuten StealthChat, Session ja Voxer Walkie Talkie Messenger. Lisäksi toinen sovellus naamioituu Palestiinan kansalaisrekisteriksi.
Yhtä näistä verkkosivustoista, palcivilreg.com, rekisteröity 30. toukokuuta 2023, mainostetaan omistetun Facebook-sivun kautta, jolla on 179 seuraajaa. Tällä sivustolla tarjottava sovellus on mallinnettu Google Play Kaupasta löytyvän samannimisen sovelluksen mukaan.
Vaikka palcivilreg.com-sivuston uhkaava sovellus ei ole suora kopio Google Play Kaupan versiosta, se käyttää laillisen sovelluksen palvelinta tietojen keräämiseen. Tämä osoittaa, että Arid Viper sai inspiraationsa laillisen sovelluksen toiminnoista, mutta kehitti oman asiakaskerroksen vuorovaikutukseen aidon palvelimen kanssa.
AridSpy Mobile -haittaohjelman hyökkäysketju
Asennuksen yhteydessä haitallinen sovellus etsii suojausohjelmistoja laitteesta ennalta määritetyn luettelon perusteella. Jos niitä ei löydy, se lataa ensimmäisen vaiheen hyötykuorman, joka naamioituu Google Play -palveluiden päivitykseksi.
Tämä hyötykuorma toimii itsenäisesti, eikä se vaadi troijalaissovelluksen läsnäoloa samassa laitteessa. Siksi alkuperäisen troijalaissovelluksen, kuten LapizaChatin, asennuksen poistaminen ei vaikuta AridSpyyn. Ensimmäisen vaiheen hyötykuorman ensisijainen tehtävä on ladata seuraavan vaiheen komponentti, joka sisältää haitallisia toimintoja ja kommunikoi Firebase-verkkotunnuksen kanssa Command-and-Control (C2) -tarkoituksiin.
Haittaohjelma on varustettu erilaisilla komennoilla tiedon poimimiseksi tartunnan saaneista laitteista, ja se voi deaktivoida itsensä tai käynnistää tietojen suodattamisen, kun se on yhdistetty mobiilidatasopimukseen. Tietojen poimiminen tapahtuu joko erityisten komentojen tai laukaistujen tapahtumien kautta.
Esimerkiksi kun uhri lukitsee tai avaa puhelimen, AridSpy ottaa kuvan etukameralla ja lähettää sen suodatus-C&C-palvelimelle. Kuvia kuitenkin otetaan vain, jos edellisestä kuvasta on kulunut yli 40 minuuttia ja akun varaustaso on yli 15 %.
