AridSpy mobiele malware
De cyberdreigingsgroep bekend als AridViper zit achter een reeks mobiele spionageoperaties waarbij gebruik wordt gemaakt van getrojaniseerde Android-applicaties om een spywarevariant genaamd AridSpy te verspreiden. Deze bedreigende applicaties worden gehost op misleidende websites die zich voordoen als legitieme berichtenapps, een platform voor het zoeken naar werk en zelfs een applicatie voor de Palestijnse Burgerlijke Stand. In veel gevallen worden legitieme applicaties gecompromitteerd door de slechte code van AridSpy te integreren.
Inhoudsopgave
AridViper heeft een lange geschiedenis van mobiele malwarebedreigingen
Arid Viper, ook bekend als APT-C-23 , Desert Falcon, Gray Karkadann, Mantis en Two-tailed Scorpion, wordt verondersteld geassocieerd te zijn met Hamas. Sinds de opkomst in 2017 heeft deze groep consequent mobiele malware gebruikt voor haar activiteiten. Historisch gezien heeft Arid Viper zich gericht op militair personeel, journalisten en dissidenten in het Midden-Oosten. De groep blijft actief en blijft een bedreiging vormen op het gebied van mobiele malware.
De meer recente activiteiten lopen sinds 2022 en omvatten maximaal vijf verschillende campagnes. Momenteel zijn er nog drie van deze campagnes actief.
AridSpy wordt verspreid via valse mobiele applicaties die zijn gemaakt door bedreigingsactoren
Analyse van de nieuwste versie van AridSpy onthult de evolutie ervan naar een meerfasig Trojaans paard dat in staat is om extra payloads te downloaden van een Command-and-Control (C2)-server via de initiële trojan-applicatie. De aanval is voornamelijk gericht op gebruikers in Palestina en Egypte, waarbij nepwebsites worden gebruikt als distributiepunten voor de gecompromitteerde applicaties.
Deze misleidende applicaties doen zich vaak voor als beveiligde berichtendiensten zoals LapizaChat, NortirChat en ReblyChat, en imiteren legitieme platforms zoals StealthChat, Session en de Voxer Walkie Talkie Messenger. Bovendien doet een andere app zich voor als de Palestijnse Burgerlijke Stand.
Een van deze websites, palcivilreg.com, geregistreerd op 30 mei 2023, wordt gepromoot via een speciale Facebook-pagina met 179 volgers. De app die op deze website wordt aangeboden, is gemodelleerd naar een gelijknamige app die te vinden is in de Google Play Store.
Hoewel de bedreigende applicatie op palcivilreg.com geen directe kopie is van de Google Play Store-versie, gebruikt deze de server van de legitieme app om gegevens te verzamelen. Dit geeft aan dat Arid Viper inspiratie putte uit de functionaliteit van de legitieme app, maar zijn eigen clientlaag ontwikkelde om met de echte server te communiceren.
Aanvalsketen van de AridSpy mobiele malware
Tijdens de installatie scant de kwaadaardige toepassing op beveiligingssoftware op het apparaat op basis van een vooraf gedefinieerde lijst. Als er geen wordt gevonden, wordt er een eerste fase van de payload gedownload, die zich voordoet als een update voor Google Play-services.
Deze payload werkt onafhankelijk en vereist geen trojan-applicatie op hetzelfde apparaat. Daarom heeft het verwijderen van de initiële trojan-applicatie, zoals LapizaChat, geen invloed op AridSpy. De primaire functie van de payload van de eerste fase is het downloaden van de component van de volgende fase, die schadelijke functionaliteiten bevat en communiceert met een Firebase-domein voor Command-and-Control (C2)-doeleinden.
De malware is uitgerust met verschillende opdrachten om gegevens van de geïnfecteerde apparaten te extraheren en kan zichzelf deactiveren of gegevensexfiltratie initiëren wanneer deze is verbonden met een mobiel data-abonnement. Gegevensextractie vindt plaats via specifieke opdrachten of geactiveerde gebeurtenissen.
Wanneer het slachtoffer bijvoorbeeld de telefoon vergrendelt of ontgrendelt, maakt AridSpy een foto met de camera aan de voorkant en stuurt deze naar de exfiltratie-C&C-server. Er worden echter alleen beelden gemaakt als het meer dan 40 minuten geleden is dat de laatste foto werd gemaakt en het batterijniveau boven de 15% ligt.
