AridSpy 모바일 악성코드
AridViper로 알려진 사이버 위협 그룹은 AridSpy라는 스파이웨어 변종을 배포하기 위해 트로이 목마에 감염된 Android 애플리케이션을 사용하는 일련의 모바일 스파이 활동의 배후에 있습니다. 이러한 위협적인 애플리케이션은 합법적인 메시징 앱, 구직 플랫폼, 심지어 팔레스타인 시민 등록 애플리케이션으로 위장한 사기성 웹사이트에서 호스팅됩니다. 많은 경우 AridSpy의 잘못된 코드를 통합하면 합법적인 애플리케이션이 손상됩니다.
목차
AridViper는 모바일 악성 코드 위협에 대한 오랜 역사를 가지고 있습니다.
APT-C-23 , Desert Falcon, Gray Karkadann, Mantis 및 Two-tailed Scorpion으로도 알려진 Arid Viper는 하마스와 관련이 있는 것으로 여겨집니다. 이 그룹은 2017년 출현 이후 지속적으로 모바일 악성코드를 활동에 활용해 왔습니다. 역사적으로 Arid Viper는 중동의 군인, 언론인, 반체제 인사를 표적으로 삼았습니다. 이 그룹은 계속해서 활동하고 있으며 모바일 악성 코드 도메인에 계속해서 위협을 가하고 있습니다.
보다 최근의 활동은 2022년부터 진행되어 최대 5개의 개별 캠페인으로 구성됩니다. 현재 이 캠페인 중 3개가 활성 상태로 남아 있습니다.
AridSpy는 위협 행위자가 만든 가짜 모바일 애플리케이션을 통해 확산됩니다.
AridSpy의 최신 버전을 분석한 결과 초기 트로이 목마 애플리케이션을 통해 명령 및 제어(C2) 서버에서 추가 페이로드를 다운로드할 수 있는 다단계 트로이 목마로 진화한 것으로 나타났습니다. 이 공격은 주로 팔레스타인과 이집트의 사용자를 대상으로 하며, 가짜 웹사이트를 손상된 애플리케이션의 배포 지점으로 활용합니다.
이러한 사기성 애플리케이션은 StealthChat, Session 및 Voxer Walkie Talkie Messenger와 같은 합법적인 플랫폼을 모방하여 LapizaChat, NortirChat 및 ReblyChat과 같은 보안 메시징 서비스로 가장하는 경우가 많습니다. 또한, 팔레스타인 시민 등록소로 가장하는 앱도 있습니다.
이러한 웹사이트 중 하나인 palcivilreg.com은 2023년 5월 30일에 등록되었으며 179명의 팔로어를 보유한 전용 Facebook 페이지를 통해 홍보됩니다. 이 웹사이트에서 제공되는 앱은 Google Play 스토어에 있는 비슷한 이름의 앱을 모델로 했습니다.
palcivilreg.com의 위협적인 애플리케이션은 Google Play 스토어 버전의 직접적인 복사본은 아니지만 합법적인 앱의 서버를 활용하여 데이터를 수집합니다. 이는 Arid Viper가 합법적인 앱의 기능에서 영감을 얻었지만 정품 서버와 상호 작용하기 위해 자체 클라이언트 계층을 개발했음을 나타냅니다.
AridSpy 모바일 악성코드의 공격 체인
설치 시 악성 애플리케이션은 미리 정의된 목록을 기반으로 장치의 보안 소프트웨어를 검색합니다. 아무 것도 발견되지 않으면 Google Play 서비스 업데이트로 가장하는 1단계 페이로드 다운로드를 진행합니다.
이 페이로드는 독립적으로 작동하므로 동일한 장치에 트로이 목마 애플리케이션이 없어도 됩니다. 따라서 LapizaChat과 같은 초기 트로이 목마 응용 프로그램을 제거해도 AridSpy에는 영향을 미치지 않습니다. 1단계 페이로드의 기본 기능은 유해한 기능을 포함하고 명령 및 제어(C2) 목적으로 Firebase 도메인과 통신하는 다음 단계 구성요소를 다운로드하는 것입니다.
이 악성코드에는 감염된 장치에서 데이터를 추출하는 다양한 명령이 탑재되어 있으며, 모바일 데이터 요금제에 연결되면 스스로 비활성화되거나 데이터 유출을 시작할 수 있습니다. 데이터 추출은 특정 명령이나 트리거된 이벤트를 통해 발생합니다.
예를 들어, 피해자가 전화기를 잠그거나 잠금 해제하면 AridSpy는 전면 카메라를 사용하여 사진을 캡처하고 이를 유출 C&C 서버로 보냅니다. 단, 마지막 사진 촬영 후 40분 이상 경과하고 배터리 잔량이 15% 이상인 경우에만 이미지가 캡처됩니다.
