AridSpy Mobile Malware
Grupul de amenințări cibernetice cunoscut sub numele de AridViper se află în spatele unei serii de operațiuni mobile de spionaj care utilizează aplicații Android troiene pentru a distribui o variantă de spyware numită AridSpy. Aceste aplicații amenințătoare sunt găzduite pe site-uri web înșelătoare care se prezintă drept aplicații de mesagerie legitime, o platformă de căutare de locuri de muncă și chiar o aplicație de registru civil palestinian. În multe cazuri, aplicațiile legitime sunt compromise prin integrarea codului prost AridSpy.
Cuprins
AridViper are o istorie lungă de amenințări malware pentru dispozitive mobile
Vipera aridă, cunoscută și sub numele de APT-C-23 , șoimul deșertului, Karkadann gri, mantis și scorpionul cu două cozi, se crede că este asociat cu Hamas. De la apariția sa în 2017, acest grup a folosit în mod constant programe malware mobile pentru operațiunile sale. Din punct de vedere istoric, Arid Viper a vizat personalul militar, jurnaliştii şi dizidenţii din Orientul Mijlociu. Grupul rămâne activ și continuă să reprezinte o amenințare în domeniul programelor malware mobile.
Activitățile mai recente sunt în desfășurare din 2022, cuprinzând până la cinci campanii distincte. În prezent, trei dintre aceste campanii rămân active.
AridSpy este răspândit prin intermediul aplicațiilor mobile false create de actori ai amenințărilor
Analiza celei mai recente iterații a AridSpy dezvăluie evoluția sa într-un troian cu mai multe etape, capabil să descarce încărcături suplimentare de pe un server Command-and-Control (C2) prin intermediul aplicației trojanizate inițiale. Atacul vizează în primul rând utilizatorii din Palestina și Egipt, utilizând site-uri web false ca puncte de distribuție pentru aplicațiile compromise.
Aceste aplicații înșelătoare prezintă adesea drept servicii de mesagerie securizate, cum ar fi LapizaChat, NortirChat și ReblyChat, imitând platforme legitime precum StealthChat, Session și Voxer Walkie Talkie Messenger. În plus, o altă aplicație se preface drept Registrul Civil Palestinian.
Unul dintre aceste site-uri, palcivilreg.com, înregistrat la 30 mai 2023, este promovat printr-o pagină de Facebook dedicată cu 179 de urmăritori. Aplicația oferită pe acest site web este modelată după o aplicație cu nume similar găsită în Magazinul Google Play.
Deși aplicația amenințătoare de pe palcivilreg.com nu este o copie directă a versiunii Magazinului Google Play, aceasta utilizează serverul aplicației legitime pentru a colecta date. Acest lucru indică faptul că Arid Viper s-a inspirat din funcționalitatea aplicației legitime, dar și-a dezvoltat propriul strat de client pentru a interacționa cu serverul autentic.
Lanțul de atac al programului malware AridSpy Mobile
La instalare, aplicația rău intenționată scanează pentru software de securitate pe dispozitiv pe baza unei liste predefinite. Dacă nu se găsește niciunul, se va descărca o încărcare utilă de primă etapă, care se preface ca o actualizare pentru Serviciile Google Play.
Această sarcină utilă funcționează independent, nefiind necesară prezența aplicației troianizate pe același dispozitiv. Prin urmare, dezinstalarea aplicației troiene inițiale, cum ar fi LapizaChat, nu afectează AridSpy. Funcția principală a încărcăturii utile din prima etapă este de a descărca componenta din etapa următoare, care conține funcționalități dăunătoare și comunică cu un domeniu Firebase în scopuri de comandă și control (C2).
Malware-ul este echipat cu diverse comenzi pentru extragerea datelor de pe dispozitivele infectate și se poate dezactiva sau iniția exfiltrarea datelor atunci când este conectat la un plan de date mobile. Extragerea datelor are loc fie prin comenzi specifice, fie prin evenimente declanșate.
De exemplu, atunci când victima blochează sau deblochează telefonul, AridSpy face o fotografie folosind camera frontală și o trimite către serverul C&C de exfiltrare. Cu toate acestea, imaginile sunt capturate numai dacă au trecut mai mult de 40 de minute de la ultima fotografie, iar nivelul bateriei este peste 15%.
