תוכנה זדונית ניידת של AridSpy
קבוצת איומי הסייבר הידועה בשם AridViper עומדת מאחורי סדרה של פעולות ריגול ניידות המשתמשות ביישומי אנדרואיד טרויאניים כדי להפיץ גרסת תוכנות ריגול בשם AridSpy. האפליקציות המאיימות הללו מתארחות באתרי אינטרנט מטעים המתחזות ליישומי הודעות לגיטימיים, פלטפורמת חיפוש עבודה ואפילו בקשה למרשם האזרחי הפלסטיני. במקרים רבים, יישומים לגיטימיים נפגעים על ידי שילוב הקוד הרע של AridSpy.
תוכן העניינים
ל- AridViper יש היסטוריה ארוכה של איומי תוכנה זדונית ניידת
צפע צחיח, הידוע גם כ- APT-C-23 , Desert Falcon, Grey Karkadann, Mantis, and Two-tailed Scorpion, משוער כקשור לחמאס. מאז הופעתה בשנת 2017, קבוצה זו השתמשה בעקביות בתוכנה זדונית ניידת עבור פעילותה. מבחינה היסטורית, אריד צפע תקף אנשי צבא, עיתונאים ומתנגדי משטר במזרח התיכון. הקבוצה ממשיכה להיות פעילה וממשיכה להוות איום בתחום התוכנה הניידת.
הפעילויות האחרונות נמשכות מאז 2022, וכוללות עד חמישה קמפיינים נפרדים. נכון לעכשיו, שלושה מהקמפיינים האלה נשארים פעילים.
AridSpy מופץ באמצעות יישומים מזויפים לנייד שנוצרו על ידי שחקני איומים
ניתוח של האיטרציה העדכנית ביותר של AridSpy חושף את התפתחותו לטרויאני רב-שלבי המסוגל להוריד מטענים נוספים משרת Command-and-Control (C2) דרך היישום הטרויאני הראשוני. המתקפה מכוונת בעיקר למשתמשים בפלסטין ובמצרים, תוך שימוש באתרי אינטרנט מזויפים כנקודות הפצה עבור היישומים שנפרצו.
יישומים מטעים אלו מתחזה לעתים קרובות לשירותי הודעות מאובטחים כגון LapizaChat, NortirChat ו-ReblyChat, המחקים פלטפורמות לגיטימיות כמו StealthChat, Session ו-Voxer Walkie Talkie Messenger. בנוסף, אפליקציה נוספת מתחזה למרשם האזרחי הפלסטיני.
אחד מהאתרים הללו, palcivilreg.com, שנרשם ב-30 במאי 2023, מקודם באמצעות עמוד פייסבוק ייעודי עם 179 עוקבים. האפליקציה המוצעת באתר זה מעוצבת על פי אפליקציה בעלת שם דומה שנמצאה בחנות Google Play.
למרות שאפליקציה מאיימת ב-palcivilreg.com אינה עותק ישיר של גרסת Google Play Store, היא משתמשת בשרת האפליקציה הלגיטימית כדי לאסוף נתונים. זה מצביע על כך ש-Arid Viper שאב השראה מהפונקציונליות של האפליקציה הלגיטימית אך פיתחה שכבת לקוח משלה לאינטראקציה עם השרת המקורי.
שרשרת התקפה של תוכנת הזדונית הניידת של AridSpy
עם ההתקנה, האפליקציה הזדונית סורקת תוכנות אבטחה במכשיר על סמך רשימה מוגדרת מראש. אם אף אחד לא נמצא, הוא ממשיך להוריד מטען שלב ראשון, שמתחזה לעדכון עבור שירותי Google Play.
מטען זה פועל באופן עצמאי, ואינו מצריך נוכחות של היישום הטרויאני על אותו מכשיר. לכן, הסרת ההתקנה של היישום הטרויאני הראשוני, כגון LapizaChat, אינה משפיעה על AridSpy. הפונקציה העיקרית של מטען השלב הראשון היא להוריד את רכיב השלב הבא, המכיל פונקציות מזיקות ומתקשר עם תחום Firebase למטרות Command-and-Control (C2).
התוכנה הזדונית מצוידת בפקודות שונות לחילוץ נתונים מהמכשירים הנגועים ויכולה לבטל את עצמה או ליזום חילוץ נתונים כאשר הוא מחובר לתוכנית נתונים ניידים. חילוץ הנתונים מתרחש באמצעות פקודות ספציפיות או אירועים מופעלים.
לדוגמה, כאשר הקורבן נועל או פותח את הטלפון, AridSpy מצלם תמונה באמצעות המצלמה הקדמית ושולח אותה לשרת C&C של ה-exfiltration. עם זאת, תמונות נלכדות רק אם חלפו יותר מ-40 דקות מאז הצילום האחרון, ורמת הסוללה היא מעל 15%.
