AridSpy Mobile ļaunprātīga programmatūra
Kiberdraudu grupa, kas pazīstama kā AridViper, ir aiz virknes mobilās spiegošanas operāciju, izmantojot trojānizētas Android lietojumprogrammas, lai izplatītu spiegprogrammatūras variantu ar nosaukumu AridSpy. Šīs draudošās lietojumprogrammas tiek mitinātas maldinošās vietnēs, kas tiek uzskatītas par likumīgām ziņojumapmaiņas lietotnēm, darba meklēšanas platformu un pat Palestīnas civilā reģistra lietojumprogrammu. Daudzos gadījumos likumīgās lietojumprogrammas tiek apdraudētas, integrējot AridSpy slikto kodu.
Satura rādītājs
AridViper ir sena mobilo ierīču ļaunprātīgas programmatūras draudu vēsture
Tiek uzskatīts, ka sausā odze, kas pazīstama arī kā APT-C-23 , tuksneša piekūns, pelēkais karkadans, dievlūdzējs un divastes skorpions, ir saistīts ar Hamas. Kopš tās parādīšanās 2017. gadā šī grupa ir pastāvīgi izmantojusi mobilo ierīču ļaunprātīgu programmatūru savās darbībās. Vēsturiski Arid Viper ir mērķējis uz militārpersonām, žurnālistiem un disidentiem Tuvajos Austrumos. Grupa joprojām ir aktīva un turpina radīt draudus mobilo ierīču ļaunprātīgas programmatūras domēnā.
Jaunākās aktivitātes tiek turpinātas kopš 2022. gada, ietverot līdz pat piecām atsevišķām kampaņām. Pašlaik trīs no šīm kampaņām joprojām ir aktīvas.
AridSpy tiek izplatīts, izmantojot viltus mobilās lietojumprogrammas, ko izveidojuši draudu aktieri
AridSpy jaunākās iterācijas analīze atklāj tās evolūciju par daudzpakāpju Trojas zirgu, kas spēj lejupielādēt papildu lietderīgās slodzes no Command-and-Control (C2) servera, izmantojot sākotnējo trojānizēto lietojumprogrammu. Uzbrukums galvenokārt ir vērsts uz lietotājiem Palestīnā un Ēģiptē, izmantojot viltotas vietnes kā apdraudēto lietojumprogrammu izplatīšanas punktus.
Šīs maldinošās lietojumprogrammas bieži tiek uzskatītas par drošiem ziņojumapmaiņas pakalpojumiem, piemēram, LapizaChat, NortirChat un ReblyChat, kas atdarina likumīgas platformas, piemēram, StealthChat, Session un Voxer Walkie Talkie Messenger. Turklāt cita lietotne tiek maskēta kā Palestīnas civilā reģistra.
Viena no šīm vietnēm, palcivilreg.com, reģistrēta 2023. gada 30. maijā, tiek reklamēta, izmantojot īpašu Facebook lapu ar 179 sekotājiem. Šajā vietnē piedāvātā lietotne ir veidota pēc līdzīga nosaukuma lietotnes, kas atrodama Google Play veikalā.
Lai gan draudošā lietojumprogramma vietnē palcivilreg.com nav tieša Google Play veikala versijas kopija, tā datu vākšanai izmanto likumīgās lietotnes serveri. Tas norāda, ka Arid Viper smēlies iedvesmu no likumīgās lietotnes funkcionalitātes, bet izstrādāja savu klienta slāni, lai mijiedarbotos ar īsto serveri.
AridSpy mobilās ļaunprogrammatūras uzbrukuma ķēde
Pēc instalēšanas ļaunprātīgā lietojumprogramma skenē drošības programmatūru ierīcē, pamatojoties uz iepriekš noteiktu sarakstu. Ja neviens netiek atrasts, tiek lejupielādēta pirmās pakāpes lietderīgā slodze, kas tiek maskēta kā Google Play pakalpojumu atjauninājums.
Šī kravnesība darbojas neatkarīgi, un tai nav nepieciešama Trojas lietojumprogrammas klātbūtne tajā pašā ierīcē. Tāpēc sākotnējās Trojas lietojumprogrammas, piemēram, LapizaChat, atinstalēšana neietekmē AridSpy. Pirmās pakāpes derīgās slodzes galvenā funkcija ir lejupielādēt nākamās pakāpes komponentu, kas satur kaitīgas funkcijas un sazinās ar Firebase domēnu komandu un vadības (C2) nolūkos.
Ļaunprātīga programmatūra ir aprīkota ar dažādām komandām, lai iegūtu datus no inficētajām ierīcēm, un, pieslēdzoties mobilo datu plānam, tā pati var deaktivizēties vai uzsākt datu eksfiltrāciju. Datu ieguve notiek, izmantojot īpašas komandas vai aktivizētus notikumus.
Piemēram, kad upuris bloķē vai atbloķē tālruni, AridSpy uzņem attēlu, izmantojot priekšējo kameru, un nosūta to uz eksfiltrācijas C&C serveri. Tomēr attēli tiek uzņemti tikai tad, ja kopš pēdējā attēla uzņemšanas ir pagājušas vairāk nekā 40 minūtes un akumulatora uzlādes līmenis pārsniedz 15%.
