Malware mobile AridSpy
Il gruppo di minacce informatiche noto come AridViper è dietro una serie di operazioni di spionaggio mobile che utilizzano applicazioni Android contenenti trojan per distribuire una variante dello spyware denominata AridSpy. Queste applicazioni minacciose sono ospitate su siti Web ingannevoli che si spacciano per app di messaggistica legittime, una piattaforma di ricerca di lavoro e persino un'applicazione del registro civile palestinese. In molti casi, le applicazioni legittime vengono compromesse integrando il codice errato di AridSpy.
Sommario
AridViper ha una lunga storia di minacce malware per dispositivi mobili
Si ritiene che Arid Viper, noto anche come APT-C-23 , Desert Falcon, Grey Karkadann, Mantis e Two-tailed Scorpion, sia associato ad Hamas. Fin dalla sua nascita nel 2017, questo gruppo ha costantemente utilizzato malware mobile per le sue operazioni. Storicamente, Arid Viper ha preso di mira personale militare, giornalisti e dissidenti in Medio Oriente. Il gruppo rimane attivo e continua a rappresentare una minaccia nel dominio del malware mobile.
Le attività più recenti sono in corso dal 2022 e comprendono fino a cinque campagne distinte. Attualmente tre di queste campagne rimangono attive.
AridSpy si diffonde tramite applicazioni mobili false create da attori di minacce
L'analisi dell'ultima iterazione di AridSpy rivela la sua evoluzione in un Trojan multi-fase in grado di scaricare payload aggiuntivi da un server Command-and-Control (C2) attraverso l'applicazione iniziale trojanizzata. L'attacco prende di mira principalmente gli utenti in Palestina ed Egitto, utilizzando siti Web falsi come punti di distribuzione per le applicazioni compromesse.
Queste applicazioni ingannevoli spesso si presentano come servizi di messaggistica sicuri come LapizaChat, NortirChat e ReblyChat, imitando piattaforme legittime come StealthChat, Session e Voxer Walkie Talkie Messenger. Inoltre, un’altra app si maschera da Registro Civile Palestinese.
Uno di questi siti, palcivilreg.com, registrato il 30 maggio 2023, è promosso attraverso una pagina Facebook dedicata con 179 follower. L'app offerta su questo sito Web è modellata su un'app con nome simile trovata su Google Play Store.
Sebbene l'applicazione minacciosa su palcivilreg.com non sia una copia diretta della versione di Google Play Store, utilizza il server dell'app legittima per raccogliere dati. Ciò indica che Arid Viper ha tratto ispirazione dalle funzionalità dell'app legittima ma ha sviluppato il proprio livello client per interagire con il server autentico.
Catena di attacchi del malware mobile AridSpy
Al momento dell'installazione, l'applicazione dannosa esegue la scansione del software di sicurezza sul dispositivo in base a un elenco predefinito. Se non ne viene trovato nessuno, procede al download di un payload di prima fase, che si maschera da aggiornamento per Google Play Services.
Questo payload funziona in modo indipendente, non richiedendo la presenza dell'applicazione trojanizzata sullo stesso dispositivo. Pertanto, la disinstallazione dell'applicazione iniziale con trojan, come LapizaChat, non influisce su AridSpy. La funzione principale del payload della prima fase è scaricare il componente della fase successiva, che contiene funzionalità dannose e comunica con un dominio Firebase per scopi di comando e controllo (C2).
Il malware è dotato di diversi comandi per estrarre i dati dai dispositivi infetti e può disattivarsi o avviare l'esfiltrazione dei dati quando è connesso a un piano dati mobile. L'estrazione dei dati avviene tramite comandi specifici o eventi attivati.
Ad esempio, quando la vittima blocca o sblocca il telefono, AridSpy cattura un'immagine utilizzando la fotocamera anteriore e la invia al server C&C di esfiltrazione. Tuttavia, le immagini vengono catturate solo se sono trascorsi più di 40 minuti dall'ultima foto e il livello della batteria è superiore al 15%.
