AridSpy Mobile Malware
Skupina za cyber prijetnje poznata kao AridViper stoji iza niza operacija mobilne špijunaže koristeći trojanizirane Android aplikacije za distribuciju varijante špijunskog softvera pod nazivom AridSpy. Ove prijeteće aplikacije nalaze se na lažnim web-mjestima koja se predstavljaju kao legitimne aplikacije za razmjenu poruka, platforma za traženje posla, pa čak i aplikacija Palestinskog civilnog registra. U mnogim slučajevima, legitimne aplikacije su ugrožene integracijom lošeg koda AridSpy.
Sadržaj
AridViper ima dugu povijest prijetnji od mobilnog zlonamjernog softvera
Suha zmija, također poznata kao APT-C-23 , pustinjski sokol, sivi karkadan, bogomoljka i dvorepi škorpion, vjeruje se da je povezana s Hamasom. Od svojeg pojavljivanja 2017., ova grupa stalno koristi mobilni malware za svoje operacije. Povijesno gledano, Arid Viper je napadao vojno osoblje, novinare i disidente na Bliskom istoku. Grupa je i dalje aktivna i nastavlja predstavljati prijetnju u domeni mobilnog zlonamjernog softvera.
Novije aktivnosti traju od 2022. i sastoje se od do pet različitih kampanja. Trenutačno su tri od ovih kampanja aktivne.
AridSpy se širi putem lažnih mobilnih aplikacija koje su stvorili akteri prijetnji
Analiza najnovije iteracije AridSpyja otkriva njegovu evoluciju u trojanca u više faza koji je sposoban preuzimati dodatne sadržaje s Command-and-Control (C2) poslužitelja putem početne trojanizirane aplikacije. Napad prvenstveno cilja korisnike u Palestini i Egiptu, koristeći lažne web stranice kao distribucijske točke za ugrožene aplikacije.
Ove obmanjujuće aplikacije često se predstavljaju kao sigurne usluge slanja poruka kao što su LapizaChat, NortirChat i ReblyChat, oponašajući legitimne platforme kao što su StealthChat, Session i Voxer Walkie Talkie Messenger. Osim toga, još jedna aplikacija maskira se kao Palestinski civilni registar.
Jedna od tih web stranica, palcivilreg.com, registrirana 30. svibnja 2023., promovira se putem namjenske Facebook stranice sa 179 pratitelja. Aplikacija ponuđena na ovoj web stranici modelirana je prema aplikaciji sličnog naziva koja se nalazi u trgovini Google Play.
Iako prijeteća aplikacija na palcivilreg.com nije izravna kopija verzije trgovine Google Play, ona koristi poslužitelj legitimne aplikacije za prikupljanje podataka. To znači da je Arid Viper crpio inspiraciju iz legitimne funkcionalnosti aplikacije, ali je razvio vlastiti sloj klijenta za interakciju s originalnim poslužiteljem.
Lanac napada mobilnog zlonamjernog softvera AridSpy
Nakon instalacije, zlonamjerna aplikacija traži sigurnosni softver na uređaju na temelju unaprijed definiranog popisa. Ako se ništa ne pronađe, nastavlja se s preuzimanjem sadržaja prve faze, koji se maskira kao ažuriranje za usluge Google Play.
Ovo opterećenje radi neovisno, ne zahtijeva prisutnost trojanizirane aplikacije na istom uređaju. Stoga deinstalacija početne trojanizirane aplikacije, kao što je LapizaChat, ne utječe na AridSpy. Primarna funkcija korisnih podataka prvog stupnja je preuzimanje komponente sljedećeg stupnja, koja sadrži štetne funkcije i komunicira s domenom Firebase za potrebe upravljanja i kontrole (C2).
Zlonamjerni softver opremljen je raznim naredbama za izvlačenje podataka sa zaraženih uređaja i može se deaktivirati ili pokrenuti eksfiltraciju podataka kada je povezan s mobilnim podatkovnim planom. Ekstrakcija podataka događa se putem određenih naredbi ili pokrenutih događaja.
Na primjer, kada žrtva zaključa ili otključa telefon, AridSpy snima sliku pomoću prednje kamere i šalje je C&C serveru za eksfiltraciju. Međutim, slike se snimaju samo ako je prošlo više od 40 minuta od snimanja posljednje fotografije i ako je razina baterije iznad 15%.
