AridSpy Mobile Malware
Grupi i kërcënimit kibernetik i njohur si AridViper qëndron pas një sërë operacionesh spiunazhi celular që përdorin aplikacione të trojanizuara Android për të shpërndarë një variant spyware të quajtur AridSpy. Këto aplikacione kërcënuese janë të vendosura në uebsajte mashtruese që paraqiten si aplikacione legjitime të mesazheve, një platformë kërkimi pune dhe madje edhe një aplikacion i Regjistrit Civil Palestinez. Në shumë raste, aplikacionet legjitime rrezikohen duke integruar kodin e keq të AridSpy.
Tabela e Përmbajtjes
AridViper ka një histori të gjatë të kërcënimeve të malware për celular
Arid Viper, i njohur gjithashtu si APT-C-23 , Skifter i shkretëtirës, Grey Karkadann, Mantis dhe Akrep me dy bisht, besohet të jetë i lidhur me Hamasin. Që nga shfaqja e tij në 2017, ky grup ka përdorur vazhdimisht malware celular për operacionet e tij. Historikisht, Arid Viper ka shënjestruar personelin ushtarak, gazetarët dhe disidentët në Lindjen e Mesme. Grupi vazhdon të jetë aktiv dhe vazhdon të përbëjë një kërcënim në domenin e malware celular.
Aktivitetet më të fundit kanë vazhduar që nga viti 2022, duke përfshirë deri në pesë fushata të ndryshme. Aktualisht, tre nga këto fushata mbeten aktive.
AridSpy është përhapur nëpërmjet aplikacioneve të rreme celulare të krijuara nga aktorët e kërcënimit
Analiza e përsëritjes më të fundit të AridSpy zbulon evoluimin e tij në një Trojan me shumë faza të aftë për të shkarkuar ngarkesa shtesë nga një server Command-and-Control (C2) përmes aplikacionit fillestar të trojanizuar. Sulmi synon kryesisht përdoruesit në Palestinë dhe Egjipt, duke përdorur faqe interneti të rreme si pika shpërndarjeje për aplikacionet e komprometuara.
Këto aplikacione mashtruese shpesh paraqiten si shërbime të sigurta të mesazheve si LapizaChat, NortirChat dhe ReblyChat, duke imituar platforma legjitime si StealthChat, Session dhe Voxer Walkie Talkie Messenger. Për më tepër, një aplikacion tjetër maskohet si Regjistri Civil Palestinez.
Një nga këto faqe interneti, palcivilreg.com, e regjistruar më 30 maj 2023, promovohet përmes një faqeje të dedikuar në Facebook me 179 ndjekës. Aplikacioni i ofruar në këtë faqe interneti është modeluar sipas një aplikacioni me emër të ngjashëm që gjendet në Google Play Store.
Megjithëse aplikacioni kërcënues në palcivilreg.com nuk është një kopje e drejtpërdrejtë e versionit të Google Play Store, ai përdor serverin e ligjshëm të aplikacionit për të mbledhur të dhëna. Kjo tregon se Arid Viper mori frymëzim nga funksionaliteti i ligjshëm i aplikacionit, por zhvilloi shtresën e vet të klientit për të bashkëvepruar me serverin e vërtetë.
Zinxhiri i sulmit të malware AridSpy Mobile
Pas instalimit, aplikacioni me qëllim të keq skanon për softuer sigurie në pajisje bazuar në një listë të paracaktuar. Nëse nuk gjendet asnjë, ai vazhdon të shkarkojë një ngarkesë të fazës së parë, e cila maskohet si një përditësim për Shërbimet Google Play.
Kjo ngarkesë funksionon në mënyrë të pavarur, duke mos kërkuar praninë e aplikacionit të trojanizuar në të njëjtën pajisje. Prandaj, çinstalimi i aplikacionit fillestar të trojanizuar, si LapizaChat, nuk ndikon në AridSpy. Funksioni kryesor i ngarkesës së fazës së parë është shkarkimi i komponentit të fazës tjetër, i cili përmban funksione të dëmshme dhe komunikon me një domen Firebase për qëllime të komandës dhe kontrollit (C2).
Malware është i pajisur me komanda të ndryshme për nxjerrjen e të dhënave nga pajisjet e infektuara dhe mund të çaktivizohet ose të fillojë ekfiltrimin e të dhënave kur lidhet me një plan të dhënash celulare. Nxjerrja e të dhënave ndodh ose përmes komandave specifike ose ngjarjeve të shkaktuara.
Për shembull, kur viktima bllokon ose zhbllokon telefonin, AridSpy kap një foto duke përdorur kamerën e përparme dhe e dërgon atë te serveri i eksfiltrimit C&C. Megjithatë, imazhet regjistrohen vetëm nëse kanë kaluar më shumë se 40 minuta që nga shkrepja e fotografisë së fundit dhe niveli i baterisë është mbi 15%.
