Zlonamerna programska oprema za mobilne naprave AridSpy

Skupina za kibernetsko grožnjo, znana kot AridViper, stoji za nizom operacij mobilnega vohunjenja, ki uporabljajo trojanske aplikacije za Android za distribucijo različice vohunske programske opreme, imenovane AridSpy. Te grozilne aplikacije gostujejo na zavajajočih spletnih mestih, ki se predstavljajo kot zakonite aplikacije za sporočanje, platforma za iskanje zaposlitve in celo aplikacija za palestinski civilni register. V mnogih primerih so zakonite aplikacije ogrožene z integracijo slabe kode AridSpy.

AridViper ima dolgo zgodovino groženj z zlonamerno programsko opremo za mobilne naprave

Suhi gad, znan tudi kot APT-C-23 , puščavski sokol, sivi karkadan, bogomoljka in dvorepi škorpijon, naj bi bil povezan s Hamasom. Od svojega nastanka leta 2017 ta skupina za svoje delovanje dosledno uporablja mobilno zlonamerno programsko opremo. V preteklosti je bil Arid Viper tarča vojaškega osebja, novinarjev in disidentov na Bližnjem vzhodu. Skupina je še vedno aktivna in še naprej predstavlja grožnjo na področju mobilne zlonamerne programske opreme.

Novejše dejavnosti potekajo od leta 2022 in obsegajo do pet različnih kampanj. Trenutno so tri od teh kampanj še vedno aktivne.

AridSpy se širi prek lažnih mobilnih aplikacij, ki so jih ustvarili akterji groženj

Analiza najnovejše ponovitve AridSpy razkriva njegov razvoj v večstopenjskega trojanca, ki je sposoben prenesti dodatne koristne obremenitve s strežnika Command-and-Control (C2) prek začetne trojanske aplikacije. Napad je usmerjen predvsem na uporabnike v Palestini in Egiptu, pri čemer uporablja lažna spletna mesta kot distribucijske točke za ogrožene aplikacije.

Te zavajajoče aplikacije se pogosto predstavljajo kot storitve varnega sporočanja, kot so LapizaChat, NortirChat in ReblyChat, ki posnemajo zakonite platforme, kot so StealthChat, Session in Voxer Walkie Talkie Messenger. Poleg tega se druga aplikacija maskira kot Palestinski civilni register.

Eno od teh spletnih mest, palcivilreg.com, registrirano 30. maja 2023, se promovira prek namenske Facebook strani s 179 sledilci. Aplikacija, ki je na voljo na tem spletnem mestu, je oblikovana po podobno imenovani aplikaciji v trgovini Google Play.

Čeprav grozeča aplikacija na palcivilreg.com ni neposredna kopija različice trgovine Google Play, za zbiranje podatkov uporablja strežnik zakonite aplikacije. To pomeni, da je Arid Viper črpal navdih iz zakonite funkcionalnosti aplikacije, vendar je razvil lastno plast odjemalca za interakcijo s pristnim strežnikom.

Veriga napadov zlonamerne programske opreme za mobilne naprave AridSpy

Po namestitvi zlonamerna aplikacija pregleda varnostno programsko opremo v napravi na podlagi vnaprej določenega seznama. Če ne najde nobene, nadaljuje s prenosom koristnega tovora prve stopnje, ki se maskira kot posodobitev za storitve Google Play.

Ta obremenitev deluje neodvisno in ne zahteva prisotnosti trojanizirane aplikacije na isti napravi. Zato odstranitev začetne trojanske aplikacije, kot je LapizaChat, ne vpliva na AridSpy. Primarna funkcija koristnega tovora prve stopnje je prenos komponente naslednje stopnje, ki vsebuje škodljive funkcije in komunicira z domeno Firebase za namene ukazovanja in nadzora (C2).

Zlonamerna programska oprema je opremljena z različnimi ukazi za pridobivanje podatkov iz okuženih naprav in se lahko deaktivira ali sproži izločitev podatkov, ko je povezana z mobilnim podatkovnim paketom. Ekstrakcija podatkov poteka prek posebnih ukazov ali sproženih dogodkov.

Na primer, ko žrtev zaklene ali odklene telefon, AridSpy zajame sliko s sprednjo kamero in jo pošlje strežniku C&C za izločanje. Vendar se slike zajamejo le, če je od zadnje fotografije minilo več kot 40 minut in je raven baterije nad 15 %.