„AridSpy Mobile“ kenkėjiška programa
Kibernetinių grėsmių grupė, žinoma kaip AridViper, vykdo daugybę mobiliųjų šnipinėjimo operacijų, kuriose naudojamos Trojanizuotos Android programos, skirtos šnipinėjimo programos variantui, pavadintam AridSpy, platinti. Šios grėsmingos programos yra talpinamos apgaulingose svetainėse, kurios pristatomos kaip teisėtos pranešimų siuntimo programos, darbo paieškos platforma ir net Palestinos civilinės metrikacijos programa. Daugeliu atvejų teisėtoms programoms kyla pavojus integruojant blogą AridSpy kodą.
Turinys
„AridViper“ turi ilgą mobiliųjų kenkėjiškų programų grėsmių istoriją
Manoma, kad sausringas angis, taip pat žinomas kaip APT-C-23 , dykumos sakalas, pilkasis karkadanas, mantis ir dviuodegis skorpionas, yra susijęs su Hamas. Nuo pat atsiradimo 2017 m. ši grupė savo veiklai nuolat naudojo mobiliąsias kenkėjiškas programas. Istoriškai „Arid Viper“ nusitaikė į karinį personalą, žurnalistus ir disidentus Artimuosiuose Rytuose. Grupė išlieka aktyvi ir toliau kelia grėsmę mobiliųjų kenkėjiškų programų domenui.
Naujausia veikla vykdoma nuo 2022 m., apimanti iki penkių skirtingų kampanijų. Šiuo metu trys iš šių kampanijų išlieka aktyvios.
„AridSpy“ platinamas per netikras mobiliąsias programas, kurias sukūrė grėsmės veikėjai
Naujausios AridSpy iteracijos analizė atskleidžia jos evoliuciją į daugiapakopį Trojos arklį, galintį atsisiųsti papildomų naudingų dalykų iš komandų ir valdymo (C2) serverio per pradinę trojanizuotą programą. Ataka pirmiausia nukreipta į Palestinos ir Egipto naudotojus, naudojant netikras svetaines kaip pažeistų programų platinimo taškus.
Šios apgaulingos programos dažnai yra saugios pranešimų siuntimo paslaugos, tokios kaip „LapizaChat“, „NortirChat“ ir „ReblyChat“, imituojančios tokias teisėtas platformas kaip „StealthChat“, „Session“ ir „Voxer Walkie Talkie Messenger“. Be to, kita programėlė prisidengia Palestinos civilinės metrikacijos vardu.
Viena iš šių svetainių, palcivilreg.com, užregistruota 2023 m. gegužės 30 d., reklamuojama per tam skirtą Facebook puslapį su 179 sekėjais. Šioje svetainėje siūloma programėlė sukurta pagal panašiai pavadintą programėlę, esančią Google Play parduotuvėje.
Nors grėsminga programa palcivilreg.com nėra tiesioginė „Google Play“ parduotuvės versijos kopija, duomenims rinkti ji naudoja teisėtą programos serverį. Tai rodo, kad „Arid Viper“ įkvėpimo sėmėsi iš teisėtos programos funkcijų, tačiau sukūrė savo kliento sluoksnį, kad galėtų sąveikauti su tikru serveriu.
„AridSpy Mobile“ kenkėjiškų programų atakų grandinė
Įdiegus kenkėjiška programa nuskaito, ar įrenginyje nėra saugos programinės įrangos pagal iš anksto nustatytą sąrašą. Jei jų nerandama, atsisiunčiama pirmos pakopos naudingoji apkrova, kuri pridengiama kaip „Google Play“ paslaugų naujinimas.
Ši naudingoji apkrova veikia savarankiškai, todėl tame pačiame įrenginyje nereikia turėti trojaniškos programos. Todėl pradinės trojaniškos programos, pvz., „LapizaChat“, pašalinimas „AridSpy“ neturi įtakos. Pagrindinė pirmojo etapo naudingojo krovinio funkcija yra atsisiųsti kitos pakopos komponentą, kuriame yra kenksmingų funkcijų ir kuris palaiko ryšį su Firebase domenu komandų ir valdymo (C2) tikslais.
Kenkėjiška programinė įranga aprūpinta įvairiomis komandomis duomenims iš užkrėstų įrenginių išgauti ir, prisijungusi prie mobiliojo duomenų plano, gali pati išsijungti arba inicijuoti duomenų išfiltravimą. Duomenų išgavimas vyksta naudojant konkrečias komandas arba suaktyvintus įvykius.
Pavyzdžiui, kai auka užrakina arba atrakina telefoną, „AridSpy“ užfiksuoja nuotrauką naudodama priekinę kamerą ir siunčia ją į eksfiltracijos C&C serverį. Tačiau vaizdai fotografuojami tik tada, kai nuo paskutinės nuotraukos darymo praėjo daugiau nei 40 minučių, o akumuliatoriaus įkrovos lygis viršija 15%.
