Мобильное вредоносное ПО AridSpy
Группа киберугроз, известная как AridViper, стоит за серией мобильных шпионских операций с использованием зараженных троянами приложений Android для распространения варианта шпионского ПО под названием AridSpy. Эти угрожающие приложения размещаются на мошеннических веб-сайтах, выдающих себя за законные приложения для обмена сообщениями, платформу для поиска работы и даже приложение для записи актов гражданского состояния Палестины. Во многих случаях законные приложения подвергаются риску из-за интеграции плохого кода AridSpy.
Оглавление
AridViper имеет долгую историю угроз мобильного вредоносного ПО
Считается, что Arid Viper, также известный как APT-C-23 , «Сокол пустыни», «Серый Каркаданн», «Богомол» и «Двухвостый скорпион», связан с ХАМАС. С момента своего появления в 2017 году эта группа постоянно использовала в своих операциях мобильные вредоносные программы. Исторически Arid Viper преследовала военных, журналистов и диссидентов на Ближнем Востоке. Группа по-прежнему активна и продолжает представлять угрозу в области мобильных вредоносных программ.
Более поздние мероприятия продолжаются с 2022 года и включают до пяти отдельных кампаний. В настоящее время три из этих кампаний остаются активными.
AridSpy распространяется через поддельные мобильные приложения, созданные злоумышленниками
Анализ последней версии AridSpy показывает, что она превратилась в многоэтапного трояна, способного загружать дополнительные полезные данные с сервера управления (C2) через первоначально зараженное трояном приложение. Атака в первую очередь нацелена на пользователей в Палестине и Египте, используя поддельные веб-сайты в качестве точек распространения скомпрометированных приложений.
Эти обманные приложения часто выдают себя за службы безопасного обмена сообщениями, такие как LapizaChat, NortirChat и ReblyChat, имитируя законные платформы, такие как StealthChat, Session и Voxer Walkie Talkie Messenger. Кроме того, еще одно приложение маскируется под Палестинский гражданский реестр.
Один из этих веб-сайтов, palcivilreg.com, зарегистрированный 30 мая 2023 года, продвигается через специальную страницу в Facebook, на которую подписано 179 человек. Приложение, предлагаемое на этом веб-сайте, создано по образцу приложения с аналогичным названием, найденного в магазине Google Play.
Хотя угрожающее приложение на palcivilreg.com не является прямой копией версии из Google Play Store, для сбора данных оно использует сервер законного приложения. Это указывает на то, что Arid Viper черпал вдохновение из функциональности легального приложения, но разработал собственный клиентский уровень для взаимодействия с подлинным сервером.
Цепочка атак мобильного вредоносного ПО AridSpy
После установки вредоносное приложение сканирует устройство на наличие защитного ПО на основе заранее заданного списка. Если ничего не найдено, он приступает к загрузке полезных данных первого этапа, которые маскируются под обновление сервисов Google Play.
Эта полезная нагрузка работает независимо, не требуя присутствия троянизированного приложения на том же устройстве. Поэтому удаление исходного троянского приложения, такого как LapizaChat, не влияет на AridSpy. Основная функция полезной нагрузки первого этапа — загрузка компонента следующего этапа, который содержит вредоносные функции и взаимодействует с доменом Firebase для целей управления и контроля (C2).
Вредоносное ПО оснащено различными командами для извлечения данных с зараженных устройств и может деактивироваться или инициировать кражу данных при подключении к тарифному плану мобильной передачи данных. Извлечение данных происходит либо с помощью определенных команд, либо с помощью инициируемых событий.
Например, когда жертва блокирует или разблокирует телефон, AridSpy делает снимок с помощью передней камеры и отправляет его на командный сервер эксфильтрации. Однако изображения захватываются только в том случае, если с момента съемки последнего снимка прошло более 40 минут, а уровень заряда батареи превышает 15%.
