Perisian Hasad Mudah Alih AridSpy
Kumpulan ancaman siber yang dikenali sebagai AridViper berada di belakang satu siri operasi pengintipan mudah alih yang menggunakan aplikasi Android yang ditrojan untuk mengedarkan varian perisian pengintip bernama AridSpy. Aplikasi yang mengancam ini dihoskan pada tapak web menipu yang menyamar sebagai apl pemesejan yang sah, platform carian kerja dan juga aplikasi Pendaftaran Awam Palestin. Dalam banyak kes, aplikasi yang sah dikompromi dengan menyepadukan kod buruk AridSpy.
Isi kandungan
AridViper Mempunyai Sejarah Lama Ancaman Perisian Mudah Alih
Arid Viper, juga dikenali sebagai APT-C-23 , Desert Falcon, Grey Karkadann, Mantis, dan Two-tailed Scorpion, dipercayai dikaitkan dengan Hamas. Sejak kemunculannya pada 2017, kumpulan ini secara konsisten menggunakan perisian hasad mudah alih untuk operasinya. Dari segi sejarah, Arid Viper telah menyasarkan anggota tentera, wartawan, dan penentang di Timur Tengah. Kumpulan itu kekal aktif dan terus menimbulkan ancaman dalam domain perisian hasad mudah alih.
Aktiviti yang lebih terkini telah dijalankan sejak 2022, yang terdiri daripada sehingga lima kempen yang berbeza. Pada masa ini, tiga daripada kempen ini kekal aktif.
AridSpy Disebar melalui Aplikasi Mudah Alih Palsu Dicipta oleh Aktor Ancaman
Analisis lelaran terkini AridSpy mendedahkan evolusinya menjadi Trojan berbilang peringkat yang mampu memuat turun muatan tambahan daripada pelayan Command-and-Control (C2) melalui aplikasi trojan awal. Serangan itu terutamanya menyasarkan pengguna di Palestin dan Mesir, menggunakan laman web palsu sebagai titik pengedaran untuk aplikasi yang terjejas.
Aplikasi menipu ini sering menyamar sebagai perkhidmatan pemesejan selamat seperti LapizaChat, NortirChat dan ReblyChat, meniru platform yang sah seperti StealthChat, Session dan Voxer Walkie Talkie Messenger. Selain itu, aplikasi lain menyamar sebagai Pejabat Pendaftaran Awam Palestin.
Salah satu tapak web ini, palcivilreg.com, yang didaftarkan pada 30 Mei 2023, dipromosikan melalui halaman Facebook khusus dengan 179 pengikut. Apl yang ditawarkan di tapak web ini dimodelkan mengikut apl bernama serupa yang ditemui di Gedung Google Play.
Walaupun aplikasi yang mengancam pada palcivilreg.com bukanlah salinan langsung versi Gedung Google Play, ia menggunakan pelayan apl yang sah untuk mengumpulkan data. Ini menunjukkan bahawa Arid Viper mendapat inspirasi daripada kefungsian apl yang sah tetapi membangunkan lapisan kliennya sendiri untuk berinteraksi dengan pelayan tulen.
Rantaian Serangan Perisian Mudah Alih AridSpy
Selepas pemasangan, aplikasi berniat jahat mengimbas perisian keselamatan pada peranti berdasarkan senarai yang telah ditetapkan. Jika tiada yang ditemui, ia meneruskan untuk memuat turun muatan peringkat pertama, yang menyamar sebagai kemas kini untuk Perkhidmatan Google Play.
Muatan ini beroperasi secara bebas, tidak memerlukan kehadiran aplikasi trojan pada peranti yang sama. Oleh itu, menyahpasang aplikasi trojan awal, seperti LapizaChat, tidak menjejaskan AridSpy. Fungsi utama muatan peringkat pertama ialah memuat turun komponen peringkat seterusnya, yang mengandungi fungsi berbahaya dan berkomunikasi dengan domain Firebase untuk tujuan Perintah dan Kawalan (C2).
Malware ini dilengkapi dengan pelbagai arahan untuk mengekstrak data daripada peranti yang dijangkiti dan boleh menyahaktifkan dirinya sendiri atau memulakan exfiltration data apabila disambungkan ke pelan data mudah alih. Pengekstrakan data berlaku sama ada melalui arahan tertentu atau peristiwa yang dicetuskan.
Sebagai contoh, apabila mangsa mengunci atau membuka kunci telefon, AridSpy menangkap gambar menggunakan kamera hadapan dan menghantarnya ke pelayan C&C exfiltration. Walau bagaimanapun, imej hanya ditangkap jika sudah melebihi 40 minit sejak gambar terakhir diambil dan tahap bateri melebihi 15%.
