AridSpy मोबाइल मालवेयर

AridViper भनेर चिनिने साइबर खतरा समूह एरिडस्पाई नामक स्पाइवेयर संस्करण वितरण गर्न ट्रोजनाइज्ड एन्ड्रोइड अनुप्रयोगहरू प्रयोग गर्ने मोबाइल जासुसी कार्यहरूको श्रृंखलाको पछाडि छ। यी धम्की दिने एप्लिकेसनहरू भ्रामक वेबसाइटहरूमा वैध मेसेजिङ एपहरू, जागिर खोज्ने प्लेटफर्म, र प्यालेस्टिनी सिभिल रजिस्ट्री एपको रूपमा पनि होस्ट गरिएका छन्। धेरै अवस्थामा, वैध अनुप्रयोगहरू AridSpy को खराब कोड एकीकृत गरेर सम्झौता गरिन्छ।

AridViper सँग मोबाइल मालवेयर खतराहरूको लामो इतिहास छ

एरिड भाइपर, जसलाई APT-C-23 , Desert Falcon, Gray Karkadann, Mantis, र Two-tailed Scorpion पनि भनिन्छ, हमाससँग सम्बन्धित रहेको मानिन्छ। 2017 मा यसको उदय पछि, यस समूहले लगातार आफ्नो सञ्चालनको लागि मोबाइल मालवेयर प्रयोग गरेको छ। ऐतिहासिक रूपमा, एरिड भाइपरले मध्य पूर्वमा सैन्य कर्मचारी, पत्रकार र असन्तुष्टहरूलाई लक्षित गरेको छ। समूह सक्रिय रहन्छ र मोबाइल मालवेयर डोमेनमा खतरा उत्पन्न गर्न जारी राख्छ।

हालैका गतिविधिहरू 2022 देखि चलिरहेका छन्, जसमा पाँचवटा अलग-अलग अभियानहरू सम्मिलित छन्। हाल यी तीनवटा अभियान सक्रिय छन्।

AridSpy थ्रेट अभिनेताहरू द्वारा बनाईएको नक्कली मोबाइल अनुप्रयोगहरू मार्फत फैलिएको छ

AridSpy को पछिल्लो पुनरावृत्तिको विश्लेषणले प्रारम्भिक ट्रोजनाइज्ड एप्लिकेसन मार्फत कमाण्ड-एण्ड-कन्ट्रोल (C2) सर्भरबाट थप पेलोडहरू डाउनलोड गर्न सक्षम बहु-चरण ट्रोजनमा यसको विकास प्रकट गर्दछ। आक्रमणले मुख्यतया प्यालेस्टाइन र इजिप्टका प्रयोगकर्ताहरूलाई लक्षित गर्दछ, नक्कली वेबसाइटहरूलाई सम्झौता गरिएका अनुप्रयोगहरूको वितरण बिन्दुको रूपमा प्रयोग गर्दै।

यी भ्रामक अनुप्रयोगहरू प्रायः सुरक्षित सन्देश सेवाहरू जस्तै LapizaChat, NortirChat, र ReblyChat, StealthChat, Session र Voxer Walkie Talkie Messenger जस्ता वैध प्लेटफर्महरूको नक्कल गर्दै। थप रूपमा, अर्को एपले प्यालेस्टिनी सिभिल रजिस्ट्रीको रूपमा मास्करेड गर्दछ।

यी मध्ये एक वेबसाइट, palcivilreg.com, मे 30, 2023 मा दर्ता गरिएको, 179 फलोअरहरू भएको एक समर्पित फेसबुक पेज मार्फत प्रचार गरिएको छ। यस वेबसाइटमा प्रस्ताव गरिएको एप गुगल प्ले स्टोरमा फेला परेको यस्तै नामको एपको मोडलमा बनाइएको छ।

यद्यपि palcivilreg.com मा धम्की दिने अनुप्रयोग गुगल प्ले स्टोर संस्करणको प्रत्यक्ष प्रतिलिपि होइन, यसले डाटा सङ्कलन गर्न वैध एपको सर्भर प्रयोग गर्दछ। यसले संकेत गर्छ कि एरिड भाइपरले वैध एपको कार्यक्षमताबाट प्रेरणा लिएको थियो तर वास्तविक सर्भरसँग अन्तर्क्रिया गर्न आफ्नै ग्राहक तहको विकास गर्‍यो।

AridSpy मोबाइल मालवेयरको आक्रमण श्रृंखला

स्थापना भएपछि, पूर्वनिर्धारित सूचीको आधारमा यन्त्रमा सुरक्षा सफ्टवेयरको लागि दुर्भावनापूर्ण अनुप्रयोग स्क्यान गर्दछ। यदि कुनै पनि फेला परेन भने, यो पहिलो चरणको पेलोड डाउनलोड गर्न अगाडि बढ्छ, जुन गुगल प्ले सेवाहरूको लागि अद्यावधिकको रूपमा मास्करेड हुन्छ।

यो पेलोड स्वतन्त्र रूपमा सञ्चालन हुन्छ, एउटै यन्त्रमा ट्रोजनाइज्ड अनुप्रयोगको उपस्थिति आवश्यक पर्दैन। त्यसैले, LapizaChat जस्ता प्रारम्भिक ट्रोजनाइज्ड एप्लिकेसनको स्थापना रद्द गर्दा, AridSpy लाई असर गर्दैन। पहिलो चरणको पेलोडको प्राथमिक कार्य भनेको अर्को चरणको कम्पोनेन्ट डाउनलोड गर्नु हो, जसले हानिकारक प्रकार्यहरू समावेश गर्दछ र Command-and-Control (C2) उद्देश्यका लागि Firebase डोमेनसँग सञ्चार गर्दछ।

मालवेयर संक्रमित यन्त्रहरूबाट डाटा निकाल्न विभिन्न आदेशहरूसँग सुसज्जित छ र मोबाइल डाटा प्लानमा जडान हुँदा आफैलाई निष्क्रिय गर्न वा डाटा निष्कासन सुरु गर्न सक्छ। डाटा निकासी या त विशेष आदेश वा ट्रिगर घटनाहरू मार्फत हुन्छ।

उदाहरणका लागि, जब पीडितले फोन लक वा अनलक गर्छ, AridSpy ले अगाडिको क्यामेरा प्रयोग गरेर तस्विर खिच्छ र एक्सफिल्ट्रेसन C&C सर्भरमा पठाउँछ। यद्यपि, अन्तिम तस्विर खिचेको ४० मिनेटभन्दा बढी भइसक्यो भने र ब्याट्रीको स्तर १५% भन्दा माथि छ भने मात्र छविहरू खिचिन्छन्।