AridSpy Mobile Malware
Az AridViper néven ismert kiberfenyegetések csoportja egy sor mobil kémművelet mögött áll, amelyek trójai Android-alkalmazásokat alkalmaznak az AridSpy nevű kémprogram-változat terjesztésére. Ezeket a fenyegető alkalmazásokat megtévesztő webhelyeken tárolják, amelyek legitim üzenetküldő alkalmazásnak, álláskeresési platformnak és még egy palesztin polgári anyakönyvi alkalmazásnak is tűnnek. Sok esetben az AridSpy rossz kódjának integrálása veszélyezteti a jogszerű alkalmazásokat.
Tartalomjegyzék
Az AridViper régóta fenyegeti a mobil rosszindulatú programokat
Az Arid Viper, más néven APT-C-23 , Desert Falcon, Gray Karkadann, Mantis és Two-taled Scorpion, úgy vélik, hogy a Hamaszhoz kötődnek. 2017-es megjelenése óta ez a csoport következetesen mobil rosszindulatú programokat használt működéséhez. Történelmileg az Arid Viper katonai személyzetet, újságírókat és másként gondolkodókat célozta meg a Közel-Keleten. A csoport továbbra is aktív, és továbbra is fenyegetést jelent a mobil malware tartományban.
Az újabb tevékenységek 2022 óta folynak, és legfeljebb öt különböző kampányból állnak. Jelenleg három ilyen kampány aktív.
Az AridSpy a fenyegető szereplők által létrehozott hamis mobilalkalmazásokon keresztül terjed
Az AridSpy legújabb iterációjának elemzése feltárja, hogy többlépcsős trójaivá fejlődött, amely képes további hasznos terheket letölteni a Command-and-Control (C2) szerverről a kezdeti trójai alkalmazáson keresztül. A támadás elsősorban a palesztinai és egyiptomi felhasználókat célozza meg, hamis webhelyeket használva terjesztési pontként a feltört alkalmazásokhoz.
Ezek a megtévesztő alkalmazások gyakran olyan biztonságos üzenetküldő szolgáltatásoknak tűnnek, mint a LapizaChat, a NortirChat és a ReblyChat, amelyek olyan legitim platformokat utánoznak, mint a StealthChat, a Session és a Voxer Walkie Talkie Messenger. Ezenkívül egy másik alkalmazás palesztin polgári anyakönyvi nyilvántartónak álcázza magát.
Az egyik ilyen webhely, a palcivilreg.com, amelyet 2023. május 30-án regisztráltak, egy 179 követővel rendelkező, dedikált Facebook-oldalon keresztül hirdetik. Az ezen a webhelyen kínált alkalmazás a Google Play Áruházban található hasonló nevű alkalmazás mintájára készült.
Bár a palcivilreg.com webhelyen található fenyegető alkalmazás nem a Google Play Áruház verziójának közvetlen másolata, a legális alkalmazás szerverét használja az adatok gyűjtésére. Ez azt jelzi, hogy az Arid Viper a törvényes alkalmazás funkcióiból merített ihletet, de saját kliens réteget fejlesztett ki az eredeti szerverrel való interakcióhoz.
Az AridSpy Mobile Malware támadási lánca
Telepítéskor a rosszindulatú alkalmazás egy előre meghatározott lista alapján keresi a biztonsági szoftvereket az eszközön. Ha egyiket sem találja, akkor letölti az első fázisú hasznos adatot, amely a Google Play szolgáltatások frissítésének álcázza magát.
Ez a hasznos teher függetlenül működik, és nem igényli a trójai alkalmazás jelenlétét ugyanazon az eszközön. Ezért a kezdeti trójai alkalmazás, például a LapizaChat eltávolítása nincs hatással az AridSpy-re. Az első szakasz hasznos adattartalmának elsődleges feladata a következő fázisú összetevő letöltése, amely káros funkciókat tartalmaz, és Command-and-Control (C2) célból kommunikál a Firebase tartományával.
A rosszindulatú program különféle parancsokkal van felszerelve az adatok kinyerésére a fertőzött eszközökről, és mobil adatcsomaghoz csatlakozva deaktiválhatja magát, vagy adatkiszűrést kezdeményezhet. Az adatok kinyerése meghatározott parancsokon vagy aktivált eseményeken keresztül történik.
Például, amikor az áldozat lezárja vagy feloldja a telefont, az AridSpy képet készít az elülső kamerával, és elküldi a kiszűrő C&C szervernek. A képek azonban csak akkor készülnek el, ha az utolsó kép készítése óta több mint 40 perc telt el, és az akkumulátor töltöttségi szintje 15% felett van.
