AridSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

AridViper ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਸਾਈਬਰ ਖ਼ਤਰਾ ਸਮੂਹ, ਮੋਬਾਈਲ ਜਾਸੂਸੀ ਓਪਰੇਸ਼ਨਾਂ ਦੀ ਇੱਕ ਲੜੀ ਦੇ ਪਿੱਛੇ ਹੈ ਜੋ ਏਰੀਡਸਪੀ ਨਾਮ ਦੇ ਇੱਕ ਸਪਾਈਵੇਅਰ ਰੂਪ ਨੂੰ ਵੰਡਣ ਲਈ ਟਰੋਜਨਾਈਜ਼ਡ ਐਂਡਰੌਇਡ ਐਪਲੀਕੇਸ਼ਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਇਹ ਧਮਕੀ ਭਰੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਜਾਇਜ਼ ਮੈਸੇਜਿੰਗ ਐਪਸ, ਇੱਕ ਨੌਕਰੀ ਖੋਜ ਪਲੇਟਫਾਰਮ, ਅਤੇ ਇੱਥੋਂ ਤੱਕ ਕਿ ਇੱਕ ਫਲਸਤੀਨੀ ਸਿਵਲ ਰਜਿਸਟਰੀ ਐਪਲੀਕੇਸ਼ਨ ਦੇ ਰੂਪ ਵਿੱਚ ਪੇਸ਼ ਕਰਨ ਵਾਲੀਆਂ ਧੋਖੇਬਾਜ਼ ਵੈੱਬਸਾਈਟਾਂ 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਹੈ। ਬਹੁਤ ਸਾਰੇ ਮਾਮਲਿਆਂ ਵਿੱਚ, ਜਾਇਜ਼ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨਾਲ AridSpy ਦੇ ਖਰਾਬ ਕੋਡ ਨੂੰ ਜੋੜ ਕੇ ਸਮਝੌਤਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

AridViper ਕੋਲ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਧਮਕੀਆਂ ਦਾ ਲੰਮਾ ਇਤਿਹਾਸ ਹੈ

ਏਰੀਡ ਵਾਈਪਰ, ਜਿਸਨੂੰ ਏਪੀਟੀ-ਸੀ-23 , ਡੇਜ਼ਰਟ ਫਾਲਕਨ, ਗ੍ਰੇ ਕਾਰਕਾਡਨ, ਮੈਂਟਿਸ, ਅਤੇ ਦੋ-ਪੂਛ ਵਾਲਾ ਸਕਾਰਪੀਅਨ ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਹਮਾਸ ਨਾਲ ਸਬੰਧਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। 2017 ਵਿੱਚ ਇਸ ਦੇ ਉਭਰਨ ਤੋਂ ਬਾਅਦ, ਇਸ ਸਮੂਹ ਨੇ ਆਪਣੇ ਸੰਚਾਲਨ ਲਈ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਦੀ ਲਗਾਤਾਰ ਵਰਤੋਂ ਕੀਤੀ ਹੈ। ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, ਐਰੀਡ ਵਾਈਪਰ ਨੇ ਮਿਡਲ ਈਸਟ ਵਿੱਚ ਫੌਜੀ ਕਰਮਚਾਰੀਆਂ, ਪੱਤਰਕਾਰਾਂ ਅਤੇ ਅਸਹਿਮਤਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਹੈ। ਗਰੁੱਪ ਲਗਾਤਾਰ ਸਰਗਰਮ ਰਹਿੰਦਾ ਹੈ ਅਤੇ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਡੋਮੇਨ ਵਿੱਚ ਖਤਰਾ ਪੈਦਾ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ।

ਸਭ ਤੋਂ ਤਾਜ਼ਾ ਗਤੀਵਿਧੀਆਂ 2022 ਤੋਂ ਚੱਲ ਰਹੀਆਂ ਹਨ, ਜਿਸ ਵਿੱਚ ਪੰਜ ਵੱਖ-ਵੱਖ ਮੁਹਿੰਮਾਂ ਸ਼ਾਮਲ ਹਨ। ਵਰਤਮਾਨ ਵਿੱਚ, ਇਹਨਾਂ ਵਿੱਚੋਂ ਤਿੰਨ ਮੁਹਿੰਮਾਂ ਸਰਗਰਮ ਹਨ।

AridSpy ਧਮਕੀ ਐਕਟਰ ਦੁਆਰਾ ਬਣਾਇਆ ਜਾਅਲੀ ਮੋਬਾਈਲ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਫੈਲਿਆ ਹੈ

AridSpy ਦੇ ਨਵੀਨਤਮ ਦੁਹਰਾਅ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਇੱਕ ਬਹੁ-ਪੜਾਅ ਟਰੋਜਨ ਵਿੱਚ ਇਸਦੇ ਵਿਕਾਸ ਨੂੰ ਪ੍ਰਗਟ ਕਰਦਾ ਹੈ ਜੋ ਸ਼ੁਰੂਆਤੀ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਪਲੀਕੇਸ਼ਨ ਦੁਆਰਾ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਵਾਧੂ ਪੇਲੋਡਸ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ। ਇਹ ਹਮਲਾ ਮੁੱਖ ਤੌਰ 'ਤੇ ਫਲਸਤੀਨ ਅਤੇ ਮਿਸਰ ਦੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ, ਜਾਅਲੀ ਵੈੱਬਸਾਈਟਾਂ ਦੀ ਵਰਤੋਂ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਵੰਡ ਪੁਆਇੰਟਾਂ ਵਜੋਂ ਕਰਦੇ ਹਨ।

ਇਹ ਧੋਖੇਬਾਜ਼ ਐਪਲੀਕੇਸ਼ਨ ਅਕਸਰ ਸਟੀਲਥਚੈਟ, ਸੈਸ਼ਨ ਅਤੇ ਵੌਕਸਰ ਵਾਕੀ ਟਾਕੀ ਮੈਸੇਂਜਰ ਵਰਗੇ ਜਾਇਜ਼ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ, LapizaChat, NortirChat, ਅਤੇ ReblyChat ਵਰਗੀਆਂ ਸੁਰੱਖਿਅਤ ਮੈਸੇਜਿੰਗ ਸੇਵਾਵਾਂ ਵਜੋਂ ਪੇਸ਼ ਕਰਦੀਆਂ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਕ ਹੋਰ ਐਪ ਫਲਸਤੀਨੀ ਸਿਵਲ ਰਜਿਸਟਰੀ ਦੇ ਰੂਪ ਵਿਚ ਮਖੌਟਾ ਪਾਉਂਦੀ ਹੈ।

ਇਹਨਾਂ ਵਿੱਚੋਂ ਇੱਕ ਵੈਬਸਾਈਟ, palcivilreg.com, 30 ਮਈ, 2023 ਨੂੰ ਰਜਿਸਟਰ ਕੀਤੀ ਗਈ ਸੀ, ਨੂੰ 179 ਅਨੁਯਾਈਆਂ ਦੇ ਨਾਲ ਇੱਕ ਸਮਰਪਿਤ ਫੇਸਬੁੱਕ ਪੇਜ ਦੁਆਰਾ ਪ੍ਰਚਾਰਿਆ ਜਾਂਦਾ ਹੈ। ਇਸ ਵੈੱਬਸਾਈਟ 'ਤੇ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਐਪ ਨੂੰ ਗੂਗਲ ਪਲੇ ਸਟੋਰ 'ਤੇ ਮਿਲਦੇ-ਜੁਲਦੇ ਨਾਮ ਦੀ ਐਪ ਦੇ ਅਨੁਸਾਰ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਹਾਲਾਂਕਿ palcivilreg.com 'ਤੇ ਧਮਕੀ ਦੇਣ ਵਾਲੀ ਐਪਲੀਕੇਸ਼ਨ ਗੂਗਲ ਪਲੇ ਸਟੋਰ ਸੰਸਕਰਣ ਦੀ ਸਿੱਧੀ ਕਾਪੀ ਨਹੀਂ ਹੈ, ਇਹ ਡੇਟਾ ਇਕੱਠਾ ਕਰਨ ਲਈ ਜਾਇਜ਼ ਐਪ ਦੇ ਸਰਵਰ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਐਰੀਡ ਵਾਈਪਰ ਨੇ ਜਾਇਜ਼ ਐਪ ਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਤੋਂ ਪ੍ਰੇਰਣਾ ਲਈ ਪਰ ਅਸਲ ਸਰਵਰ ਨਾਲ ਇੰਟਰੈਕਟ ਕਰਨ ਲਈ ਆਪਣੀ ਖੁਦ ਦੀ ਕਲਾਇੰਟ ਲੇਅਰ ਵਿਕਸਿਤ ਕੀਤੀ।

AridSpy ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ ਦੀ ਹਮਲਾ ਚੇਨ

ਇੰਸਟਾਲੇਸ਼ਨ 'ਤੇ, ਖਤਰਨਾਕ ਐਪਲੀਕੇਸ਼ਨ ਪਹਿਲਾਂ ਤੋਂ ਪਰਿਭਾਸ਼ਿਤ ਸੂਚੀ ਦੇ ਆਧਾਰ 'ਤੇ ਡਿਵਾਈਸ 'ਤੇ ਸੁਰੱਖਿਆ ਸੌਫਟਵੇਅਰ ਲਈ ਸਕੈਨ ਕਰਦੀ ਹੈ। ਜੇਕਰ ਕੋਈ ਵੀ ਨਹੀਂ ਮਿਲਦਾ, ਤਾਂ ਇਹ ਇੱਕ ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ, ਜੋ ਕਿ Google Play ਸੇਵਾਵਾਂ ਲਈ ਇੱਕ ਅੱਪਡੇਟ ਦੇ ਰੂਪ ਵਿੱਚ ਮਾਸਕਰੇਡ ਕਰਦਾ ਹੈ।

ਇਹ ਪੇਲੋਡ ਸੁਤੰਤਰ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਉਸੇ ਡਿਵਾਈਸ 'ਤੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਪਲੀਕੇਸ਼ਨ ਦੀ ਮੌਜੂਦਗੀ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਇਸ ਲਈ, ਸ਼ੁਰੂਆਤੀ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਅਣਇੰਸਟੌਲ ਕਰਨਾ, ਜਿਵੇਂ ਕਿ LapizaChat, AridSpy ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਨਹੀਂ ਕਰਦਾ ਹੈ। ਪਹਿਲੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ ਦਾ ਪ੍ਰਾਇਮਰੀ ਫੰਕਸ਼ਨ ਅਗਲੇ-ਪੜਾਅ ਵਾਲੇ ਹਿੱਸੇ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਹਾਨੀਕਾਰਕ ਕਾਰਜਕੁਸ਼ਲਤਾਵਾਂ ਹਨ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਉਦੇਸ਼ਾਂ ਲਈ ਫਾਇਰਬੇਸ ਡੋਮੇਨ ਨਾਲ ਸੰਚਾਰ ਕਰਦਾ ਹੈ।

ਮਾਲਵੇਅਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਤੋਂ ਡੇਟਾ ਐਕਸਟਰੈਕਟ ਕਰਨ ਲਈ ਵੱਖ-ਵੱਖ ਕਮਾਂਡਾਂ ਨਾਲ ਲੈਸ ਹੈ ਅਤੇ ਮੋਬਾਈਲ ਡਾਟਾ ਪਲਾਨ ਨਾਲ ਕਨੈਕਟ ਹੋਣ 'ਤੇ ਆਪਣੇ ਆਪ ਨੂੰ ਅਕਿਰਿਆਸ਼ੀਲ ਕਰ ਸਕਦਾ ਹੈ ਜਾਂ ਡੇਟਾ ਐਕਸਫਿਲਟਰੇਸ਼ਨ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ। ਡੇਟਾ ਐਕਸਟਰੈਕਸ਼ਨ ਜਾਂ ਤਾਂ ਖਾਸ ਕਮਾਂਡਾਂ ਜਾਂ ਟ੍ਰਿਗਰਡ ਇਵੈਂਟਸ ਦੁਆਰਾ ਹੁੰਦਾ ਹੈ।

ਉਦਾਹਰਨ ਲਈ, ਜਦੋਂ ਪੀੜਤ ਫੋਨ ਨੂੰ ਲਾਕ ਜਾਂ ਅਨਲੌਕ ਕਰਦਾ ਹੈ, ਤਾਂ AridSpy ਫਰੰਟ ਕੈਮਰੇ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਇੱਕ ਤਸਵੀਰ ਖਿੱਚਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਐਕਸਫਿਲਟਰੇਸ਼ਨ C&C ਸਰਵਰ ਨੂੰ ਭੇਜਦਾ ਹੈ। ਹਾਲਾਂਕਿ, ਚਿੱਤਰਾਂ ਨੂੰ ਕੇਵਲ ਤਾਂ ਹੀ ਕੈਪਚਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੇਕਰ ਆਖਰੀ ਤਸਵੀਰ ਲਈ 40 ਮਿੰਟ ਤੋਂ ਵੱਧ ਸਮਾਂ ਹੋ ਗਿਆ ਹੈ, ਅਤੇ ਬੈਟਰੀ ਪੱਧਰ 15% ਤੋਂ ਉੱਪਰ ਹੈ।