एरिडस्पाई मोबाइल मैलवेयर

एरिडवाइपर नामक साइबर खतरा समूह, एरिडस्पाई नामक स्पाइवेयर वैरिएंट वितरित करने के लिए ट्रोजनाइज्ड एंड्रॉइड एप्लिकेशन का उपयोग करके मोबाइल जासूसी संचालन की एक श्रृंखला के पीछे है। ये धमकी भरे एप्लिकेशन वैध मैसेजिंग ऐप, जॉब सर्च प्लेटफॉर्म और यहां तक कि फिलिस्तीनी सिविल रजिस्ट्री एप्लिकेशन के रूप में प्रस्तुत किए जाने वाले भ्रामक वेबसाइटों पर होस्ट किए जाते हैं। कई मामलों में, एरिडस्पाई के खराब कोड को एकीकृत करके वैध एप्लिकेशन से समझौता किया जाता है।

एरिडवाइपर का मोबाइल मैलवेयर खतरों का एक लंबा इतिहास है

एरिड वाइपर, जिसे APT-C-23 , डेजर्ट फाल्कन, ग्रे कर्कदान, मेंटिस और टू-टेल्ड स्कॉर्पियन के नाम से भी जाना जाता है, हमास से जुड़ा माना जाता है। 2017 में उभरने के बाद से, इस समूह ने अपने संचालन के लिए लगातार मोबाइल मैलवेयर का इस्तेमाल किया है। ऐतिहासिक रूप से, एरिड वाइपर ने मध्य पूर्व में सैन्य कर्मियों, पत्रकारों और असंतुष्टों को निशाना बनाया है। यह समूह सक्रिय बना हुआ है और मोबाइल मैलवेयर डोमेन में खतरा पैदा करता रहता है।

हाल ही में 2022 से ही पांच अलग-अलग अभियान चलाए जा रहे हैं। वर्तमान में इनमें से तीन अभियान सक्रिय हैं।

एरिडस्पाई का प्रसार धमकी देने वाले तत्वों द्वारा बनाए गए नकली मोबाइल एप्लीकेशन के माध्यम से होता है

एरिडस्पाई के नवीनतम संस्करण के विश्लेषण से पता चलता है कि यह एक बहु-चरणीय ट्रोजन में विकसित हो गया है जो प्रारंभिक ट्रोजनकृत एप्लिकेशन के माध्यम से कमांड-एंड-कंट्रोल (C2) सर्वर से अतिरिक्त पेलोड डाउनलोड करने में सक्षम है। यह हमला मुख्य रूप से फिलिस्तीन और मिस्र के उपयोगकर्ताओं को लक्षित करता है, जो समझौता किए गए एप्लिकेशन के वितरण बिंदुओं के रूप में नकली वेबसाइटों का उपयोग करता है।

ये भ्रामक एप्लिकेशन अक्सर सुरक्षित मैसेजिंग सेवाओं जैसे कि लैपिज़ाचैट, नॉर्टिरचैट और रेबलीचैट के रूप में प्रस्तुत होते हैं, जो स्टील्थचैट, सेशन और वॉक्सर वॉकी टॉकी मैसेंजर जैसे वैध प्लेटफ़ॉर्म की नकल करते हैं। इसके अलावा, एक अन्य ऐप फ़िलिस्तीनी नागरिक रजिस्ट्री के रूप में भी पेश किया जाता है।

इनमें से एक वेबसाइट palcivilreg.com, जो 30 मई, 2023 को पंजीकृत हुई थी, को 179 फ़ॉलोअर वाले एक समर्पित फ़ेसबुक पेज के ज़रिए प्रचारित किया जाता है। इस वेबसाइट पर पेश किया गया ऐप Google Play Store पर मौजूद इसी नाम के ऐप के आधार पर बनाया गया है।

हालाँकि palcivilreg.com पर मौजूद धमकी देने वाला एप्लिकेशन Google Play Store वर्शन की सीधी कॉपी नहीं है, लेकिन यह डेटा इकट्ठा करने के लिए वैध ऐप के सर्वर का इस्तेमाल करता है। यह दर्शाता है कि एरिड वाइपर ने वैध ऐप की कार्यक्षमता से प्रेरणा ली लेकिन असली सर्वर के साथ बातचीत करने के लिए अपनी खुद की क्लाइंट लेयर विकसित की।

एरिडस्पाई मोबाइल मैलवेयर की आक्रमण श्रृंखला

इंस्टॉल होने के बाद, दुर्भावनापूर्ण एप्लिकेशन डिवाइस पर पहले से निर्धारित सूची के आधार पर सुरक्षा सॉफ़्टवेयर के लिए स्कैन करता है। यदि कोई नहीं मिलता है, तो यह पहले चरण का पेलोड डाउनलोड करने के लिए आगे बढ़ता है, जो Google Play सेवाओं के लिए अपडेट के रूप में सामने आता है।

यह पेलोड स्वतंत्र रूप से काम करता है, इसके लिए उसी डिवाइस पर ट्रोजनाइज़्ड एप्लिकेशन की मौजूदगी की आवश्यकता नहीं होती है। इसलिए, LapizaChat जैसे शुरुआती ट्रोजनाइज़्ड एप्लिकेशन को अनइंस्टॉल करने से AridSpy पर कोई असर नहीं पड़ता है। पहले चरण के पेलोड का प्राथमिक कार्य अगले चरण के घटक को डाउनलोड करना है, जिसमें हानिकारक कार्यक्षमताएँ होती हैं और कमांड-एंड-कंट्रोल (C2) उद्देश्यों के लिए फ़ायरबेस डोमेन के साथ संचार करता है।

मैलवेयर संक्रमित डिवाइस से डेटा निकालने के लिए विभिन्न कमांड से लैस है और मोबाइल डेटा प्लान से कनेक्ट होने पर खुद को निष्क्रिय कर सकता है या डेटा एक्सफ़िलट्रेशन शुरू कर सकता है। डेटा निष्कर्षण या तो विशिष्ट कमांड या ट्रिगर किए गए ईवेंट के माध्यम से होता है।

उदाहरण के लिए, जब पीड़ित फोन को लॉक या अनलॉक करता है, तो एरिडस्पाई फ्रंट कैमरे का उपयोग करके एक तस्वीर कैप्चर करता है और इसे एक्सफ़िल्ट्रेशन C&C सर्वर पर भेजता है। हालाँकि, छवियाँ केवल तभी कैप्चर की जाती हैं जब अंतिम तस्वीर लिए जाने के 40 मिनट से अधिक समय हो गया हो, और बैटरी का स्तर 15% से ऊपर हो।