AridSpy Mobile Malware
Skupina kybernetických hrozieb známa ako AridViper stojí za sériou mobilných špionážnych operácií využívajúcich trojanizované aplikácie pre Android na distribúciu spywarového variantu s názvom AridSpy. Tieto hrozivé aplikácie sú umiestnené na klamlivých webových stránkach, ktoré sa tvária ako legitímne aplikácie na odosielanie správ, platforma na hľadanie zamestnania a dokonca aj aplikácia palestínskeho občianskeho registra. V mnohých prípadoch sú legitímne aplikácie ohrozené integráciou zlého kódu AridSpy.
Obsah
AridViper má dlhú históriu hrozieb mobilného malvéru
Arid Viper, tiež známy ako APT-C-23 , Desert Falcon, Grey Karkadann, Mantis a Two-tailed Scorpion, sa považuje za spájaný s Hamasom. Od svojho vzniku v roku 2017 táto skupina na svoje operácie dôsledne využíva mobilný malvér. Historicky sa Arid Viper zameral na vojenský personál, novinárov a disidentov na Blízkom východe. Skupina je naďalej aktívna a naďalej predstavuje hrozbu v doméne mobilného malvéru.
Najnovšie aktivity prebiehajú od roku 2022 a zahŕňajú až päť rôznych kampaní. V súčasnosti zostávajú aktívne tri z týchto kampaní.
AridSpy sa šíri prostredníctvom falošných mobilných aplikácií vytvorených Threat Actors
Analýza najnovšej iterácie AridSpy odhaľuje jeho vývoj na viacstupňového trójskeho koňa schopného sťahovať ďalšie užitočné zaťaženie zo servera Command-and-Control (C2) prostredníctvom počiatočnej trojanizovanej aplikácie. Útok sa zameriava predovšetkým na používateľov v Palestíne a Egypte, pričom využíva falošné webové stránky ako distribučné miesta pre napadnuté aplikácie.
Tieto klamlivé aplikácie sa často tvária ako zabezpečené služby zasielania správ, ako sú LapizaChat, NortirChat a ReblyChat, napodobňujúce legitímne platformy ako StealthChat, Session a Voxer Walkie Talkie Messenger. Ďalšia aplikácia sa navyše vydáva za palestínsky občiansky register.
Jedna z týchto webových stránok, palcivilreg.com, zaregistrovaná 30. mája 2023, je propagovaná prostredníctvom vyhradenej stránky na Facebooku so 179 sledovateľmi. Aplikácia ponúkaná na tejto webovej stránke je vytvorená podľa podobne pomenovanej aplikácie, ktorá sa nachádza v obchode Google Play.
Hoci hrozivá aplikácia na palcivilreg.com nie je priamou kópiou verzie obchodu Google Play, na zhromažďovanie údajov využíva server legitímnej aplikácie. To naznačuje, že Arid Viper čerpal inšpiráciu z funkcií legitímnej aplikácie, ale vyvinul svoju vlastnú vrstvu klienta na interakciu s originálnym serverom.
Útočný reťazec mobilného malvéru AridSpy
Po inštalácii škodlivá aplikácia vyhľadá bezpečnostný softvér v zariadení na základe vopred definovaného zoznamu. Ak sa žiadna nenájde, pristúpi k stiahnutiu dátovej časti prvej fázy, ktorá sa vydáva za aktualizáciu Služieb Google Play.
Toto užitočné zaťaženie funguje nezávisle a nevyžaduje prítomnosť aplikácie s trójskym koňom na rovnakom zariadení. Preto odinštalovanie pôvodnej trojanizovanej aplikácie, ako je LapizaChat, neovplyvní AridSpy. Primárnou funkciou užitočného zaťaženia prvej fázy je stiahnuť komponent ďalšej fázy, ktorý obsahuje škodlivé funkcie a komunikuje s doménou Firebase na účely Command-and-Control (C2).
Malvér je vybavený rôznymi príkazmi na extrahovanie údajov z infikovaných zariadení a môže sa deaktivovať alebo spustiť exfiltráciu údajov pri pripojení k mobilnému dátovému plánu. Extrakcia údajov prebieha buď prostredníctvom špecifických príkazov alebo spúšťaných udalostí.
Napríklad, keď obeť zamkne alebo odomkne telefón, AridSpy zachytí obrázok pomocou prednej kamery a odošle ho na exfiltračný C&C server. Snímky sa však zachytia iba vtedy, ak od nasnímania poslednej snímky uplynulo viac ako 40 minút a úroveň nabitia batérie je vyššia ako 15 %.
