Złośliwe oprogramowanie mobilne AridSpy
Grupa cyberprzestępcza znana jako AridViper stoi za serią mobilnych operacji szpiegowskich wykorzystujących zaatakowane trojanami aplikacje dla systemu Android w celu dystrybucji wariantu oprogramowania szpiegującego o nazwie AridSpy. Te groźne aplikacje są hostowane na zwodniczych witrynach udających legalne aplikacje do przesyłania wiadomości, platformę wyszukiwania ofert pracy, a nawet aplikację palestyńskiego rejestru cywilnego. W wielu przypadkach legalne aplikacje są zagrożone poprzez integrację złego kodu AridSpy.
Spis treści
AridViper ma długą historię zagrożeń złośliwym oprogramowaniem mobilnym
Uważa się, że Arid Viper, znany również jako APT-C-23 , Desert Falcon, Gray Karkadann, Mantis i Two-tailed Scorpion, jest powiązany z Hamasem. Od momentu pojawienia się w 2017 r. grupa ta konsekwentnie wykorzystuje w swoich operacjach mobilne szkodliwe oprogramowanie. Historycznie rzecz biorąc, Arid Viper atakował personel wojskowy, dziennikarzy i dysydentów na Bliskim Wschodzie. Grupa pozostaje aktywna i nadal stanowi zagrożenie w domenie mobilnego szkodliwego oprogramowania.
Nowsze działania trwają od 2022 r. i obejmują maksymalnie pięć odrębnych kampanii. Obecnie trzy z tych kampanii są nadal aktywne.
AridSpy rozprzestrzenia się za pośrednictwem fałszywych aplikacji mobilnych stworzonych przez podmioty stanowiące zagrożenie
Analiza najnowszej wersji programu AridSpy ujawnia jego ewolucję w wieloetapowego trojana zdolnego do pobierania dodatkowych ładunków z serwera dowodzenia i kontroli (C2) za pośrednictwem początkowej trojanizowanej aplikacji. Celem ataku są głównie użytkownicy w Palestynie i Egipcie, a fałszywe strony internetowe stanowią punkty dystrybucji zaatakowanych aplikacji.
Te zwodnicze aplikacje często podszywają się pod bezpieczne usługi przesyłania wiadomości, takie jak LapizaChat, NortirChat i ReblyChat, imitując legalne platformy, takie jak StealthChat, Session i Voxer Walkie Talkie Messenger. Dodatkowo inna aplikacja podszywa się pod palestyński rejestr cywilny.
Jedna z tych witryn, palcivilreg.com, zarejestrowana 30 maja 2023 r., jest promowana za pośrednictwem dedykowanej strony na Facebooku, którą obserwuje 179 osób. Aplikacja oferowana na tej stronie jest wzorowana na aplikacji o podobnej nazwie, którą można znaleźć w sklepie Google Play.
Chociaż groźna aplikacja na palcivilreg.com nie jest bezpośrednią kopią wersji ze Sklepu Google Play, wykorzystuje serwer legalnej aplikacji do gromadzenia danych. Oznacza to, że Arid Viper czerpał inspirację z funkcjonalności legalnej aplikacji, ale opracował własną warstwę klienta do interakcji z prawdziwym serwerem.
Łańcuch ataków mobilnego złośliwego oprogramowania AridSpy
Po instalacji złośliwa aplikacja skanuje urządzenie w poszukiwaniu oprogramowania zabezpieczającego na podstawie wstępnie zdefiniowanej listy. Jeśli żaden nie zostanie znaleziony, pobiera ładunek pierwszego etapu, który udaje aktualizację Usług Google Play.
Ten ładunek działa niezależnie i nie wymaga obecności trojanizowanej aplikacji na tym samym urządzeniu. Dlatego odinstalowanie początkowej aplikacji zaatakowanej przez trojan, takiej jak LapizaChat, nie ma wpływu na AridSpy. Podstawową funkcją ładunku pierwszego etapu jest pobranie komponentu następnego etapu, który zawiera szkodliwe funkcje i komunikuje się z domeną Firebase w celach dowodzenia i kontroli (C2).
Szkodnik wyposażony jest w różne polecenia służące do wydobywania danych z zainfekowanych urządzeń i może się dezaktywować lub inicjować eksfiltrację danych po podłączeniu do mobilnego planu transmisji danych. Wydobywanie danych odbywa się za pomocą określonych poleceń lub wyzwalanych zdarzeń.
Na przykład, gdy ofiara blokuje lub odblokowuje telefon, AridSpy robi zdjęcie przednim aparatem i wysyła je do serwera kontroli i kontroli eksfiltracji. Jednakże zdjęcia zostaną wykonane tylko wtedy, gdy od wykonania ostatniego zdjęcia minęło więcej niż 40 minut, a poziom naładowania baterii przekracza 15%.
