АридСпи Мобиле Малвер
Група сајбер претњи позната као АридВипер стоји иза серије мобилних шпијунских операција које користе тројанизоване Андроид апликације за дистрибуцију шпијунске варијанте под називом АридСпи. Ове претеће апликације се налазе на обмањујућим веб локацијама које се представљају као легитимне апликације за размену порука, платформа за тражење посла, па чак и апликација Палестинског цивилног регистра. У многим случајевима, легитимне апликације су компромитоване интеграцијом лошег кода АридСпи-а.
Преглед садржаја
АридВипер има дугу историју претњи од малвера за мобилне уређаје
Верује се да је суха змија, позната и као АПТ-Ц-23 , пустињски соко, сиви каркадан, богомољка и дворепи шкорпион, повезана са Хамасом. Од свог настанка 2017. године, ова група је доследно користила мобилни малвер за своје операције. Историјски гледано, Арид Випер је циљао војно особље, новинаре и дисиденте на Блиском истоку. Група је и даље активна и наставља да представља претњу у домену мобилног малвера.
Новије активности трају од 2022. и обухватају до пет различитих кампања. Тренутно, три од ових кампања остају активне.
АридСпи се шири преко лажних мобилних апликација креираних од стране претњи
Анализа најновије итерације АридСпи-а открива његову еволуцију у вишестепеног тројанца способног да преузме додатне корисне податке са сервера за команду и контролу (Ц2) преко почетне тројанизоване апликације. Напад је првенствено усмерен на кориснике у Палестини и Египту, користећи лажне веб странице као тачке дистрибуције за угрожене апликације.
Ове обмањујуће апликације често представљају безбедне услуге за размену порука као што су ЛапизаЦхат, НортирЦхат и РеблиЦхат, имитирајући легитимне платформе као што су СтеалтхЦхат, Сессион и Вокер Валкие Талкие Мессенгер. Поред тога, још једна апликација се маскира као Палестински грађански регистар.
Једна од ових веб страница, палцивилрег.цом, регистрована 30. маја 2023., промовише се путем наменске Фацебоок странице са 179 пратилаца. Апликација која се нуди на овој веб локацији направљена је по узору на апликацију сличног имена која се налази у Гоогле Плаи продавници.
Иако претња апликација на палцивилрег.цом није директна копија верзије Гоогле Плаи продавнице, она користи сервер легитимне апликације за прикупљање података. Ово указује да је Арид Випер црпио инспирацију из легитимне функционалности апликације, али је развио сопствени слој клијента за интеракцију са правим сервером.
Ланац напада АридСпи Мобиле малвера
Након инсталације, злонамерна апликација скенира безбедносни софтвер на уређају на основу унапред дефинисане листе. Ако се ниједан не пронађе, наставља са преузимањем корисног оптерећења прве фазе, које се маскира као ажурирање за Гоогле Плаи услуге.
Ово оптерећење ради независно, не захтевајући присуство тројанизоване апликације на истом уређају. Стога, деинсталирање почетне тројанизоване апликације, као што је ЛапизаЦхат, не утиче на АридСпи. Примарна функција корисног оптерећења прве фазе је преузимање компоненте следеће фазе, која садржи штетне функционалности и комуницира са Фиребасе доменом за потребе команде и контроле (Ц2).
Злонамерни софтвер је опремљен различитим командама за издвајање података са заражених уређаја и може се сам деактивирати или покренути ексфилтрацију података када је повезан са планом за пренос података за мобилне уређаје. Екстракција података се дешава или путем одређених команди или покренутих догађаја.
На пример, када жртва закључа или откључа телефон, АридСпи снима слику помоћу предње камере и шаље је на сервер за управљање и управљање ексфилтрацијом. Међутим, слике се снимају само ако је прошло више од 40 минута од последњег снимања и ниво батерије је изнад 15%.
