AridSpy Mobile Malware
O grupo de ameaças cibernéticas conhecido como AridViper está por trás de uma série de operações de espionagem móvel que empregam aplicativos Android trojanizados para distribuir uma variante de spyware chamada AridSpy. Estas aplicações ameaçadoras estão alojadas em websites fraudulentos que se apresentam como aplicações de mensagens legítimas, uma plataforma de procura de emprego e até mesmo uma aplicação de registo civil palestiniano. Em muitos casos, aplicativos legítimos são comprometidos pela integração de códigos maliciosos do AridSpy.
Índice
O AridViper Tem um Longo Histórico de Ameaças de Celular
Acredita-se o Arid Viper, também conhecido como APT-C-23, Desert Falcon, Grey Karkadann, Mantis e Two-tailed Scorpion, esteja associado ao Hamas. Desde o seu surgimento em 2017, este grupo tem utilizado consistentemente malware móvel para as suas operações. Historicamente, o Arid Viper tem como alvo militares, jornalistas e dissidentes no Médio Oriente. O grupo permanece ativo e continua a representar uma ameaça no domínio do malware móvel.
As atividades mais recentes estão em andamento desde 2022, compreendendo até cinco campanhas distintas. Atualmente, três dessas campanhas permanecem ativas.
O AridSpy é Espalhado por Meio de Falsos Aplicativos para Celular, Criados pelos Autores de Ameaças
A análise da última iteração do AridSpy revela sua evolução para um Trojan de vários estágios, capaz de baixar cargas adicionais de um servidor de Comando e Controle (C2) por meio do aplicativo trojanizado inicial. O ataque tem como alvo principal usuários na Palestina e no Egito, utilizando sites falsos como pontos de distribuição para os aplicativos comprometidos.
Esses aplicativos enganosos muitas vezes se apresentam como serviços de mensagens seguros, como LapizaChat, NortirChat e ReblyChat, imitando plataformas legítimas como StealthChat, Session e Voxer Walkie Talkie Messenger. Além disso, outro aplicativo se disfarça como Registro Civil Palestino.
Um desses sites, palcivilreg.com, registado em 30 de maio de 2023, é promovido através de uma página dedicada no Facebook com 179 seguidores. O aplicativo oferecido neste site segue o modelo de um aplicativo com nome semelhante encontrado na Google Play Store.
Embora o aplicativo ameaçador em palcivilreg.com não seja uma cópia direta da versão da Google Play Store, ele utiliza o servidor do aplicativo legítimo para coletar dados. Isso indica que o Arid Viper se inspirou na funcionalidade do aplicativo legítimo, mas desenvolveu sua própria camada de cliente para interagir com o servidor genuíno.
A Cadeia de Ataque do AridSpy Mobile Malware
Após a instalação, o aplicativo malicioso procura software de segurança no dispositivo com base em uma lista predefinida. Se nada for encontrado, ele baixa uma carga útil de primeiro estágio, que se disfarça como uma atualização para o Google Play Services.
Essa carga opera de forma independente, não exigindo a presença do aplicativo trojanizado no mesmo dispositivo. Portanto, desinstalar o aplicativo trojanizado inicial, como o LapizaChat, não afeta o AridSpy. A função principal da carga útil do primeiro estágio é baixar o componente do próximo estágio, que contém funcionalidades prejudiciais e se comunica com um domínio Firebase para fins de comando e controle (C2).
O malware está equipado com vários comandos para extrair dados dos dispositivos infectados e pode se desativar ou iniciar a exfiltração de dados quando conectado a um plano de dados móveis. A extração de dados ocorre por meio de comandos específicos ou de eventos acionados.
Por exemplo, quando a vítima bloqueia ou desbloqueia o telefone, o AridSpy captura uma imagem usando a câmera frontal e a envia para o servidor C&C de exfiltração. No entanto, as imagens só serão capturadas se já se passaram mais de 40 minutos desde a última foto tirada e o nível da bateria estiver acima de 15%.
