AridSpy mobil skadlig programvara
Cyberhotgruppen känd som AridViper ligger bakom en serie mobilspionageoperationer som använder trojaniserade Android-applikationer för att distribuera en spionprogramvariant som heter AridSpy. Dessa hotfulla applikationer finns på vilseledande webbplatser som utger sig för att vara legitima meddelandeappar, en jobbsökningsplattform och till och med en ansökan om det palestinska civila registret. I många fall äventyras legitima applikationer genom att integrera AridSpys dåliga kod.
Innehållsförteckning
AridViper har en lång historia av hot om mobil skadlig programvara
Arid Viper, även känd som APT-C-23 , Desert Falcon, Grey Karkadann, Mantis och Two-tailed Scorpion, tros vara associerad med Hamas. Sedan uppkomsten 2017 har denna grupp konsekvent använt mobil skadlig programvara för sin verksamhet. Historiskt sett har Arid Viper riktat in sig på militär personal, journalister och dissidenter i Mellanöstern. Gruppen fortsätter att vara aktiv och fortsätter att utgöra ett hot i den mobila skadliga domänen.
De senaste aktiviteterna har pågått sedan 2022 och omfattar upp till fem distinkta kampanjer. För närvarande är tre av dessa kampanjer aktiva.
AridSpy sprids via falska mobilapplikationer skapade av Threat Actors
Analys av den senaste iterationen av AridSpy avslöjar dess utveckling till en flerstegs trojan som kan ladda ner ytterligare nyttolaster från en Command-and-Control-server (C2) genom den första trojaniserade applikationen. Attacken riktar sig främst till användare i Palestina och Egypten och använder falska webbplatser som distributionspunkter för de utsatta applikationerna.
Dessa vilseledande applikationer framstår ofta som säkra meddelandetjänster som LapizaChat, NortirChat och ReblyChat, och efterliknar legitima plattformar som StealthChat, Session och Voxer Walkie Talkie Messenger. Dessutom maskerar en annan app sig som det palestinska civila registret.
En av dessa webbplatser, palcivilreg.com, registrerad den 30 maj 2023, marknadsförs genom en dedikerad Facebook-sida med 179 följare. Appen som erbjuds på den här webbplatsen är modellerad efter en app med liknande namn som finns i Google Play Butik.
Även om den hotande applikationen på palcivilreg.com inte är en direkt kopia av versionen av Google Play Butik, använder den den legitima appens server för att samla in data. Detta indikerar att Arid Viper hämtade inspiration från den legitima appens funktionalitet men utvecklade sitt eget klientlager för att interagera med den äkta servern.
Attackkedjan för AridSpy Mobile Malware
Vid installationen söker den skadliga applikationen efter säkerhetsprogramvara på enheten baserat på en fördefinierad lista. Om ingen hittas fortsätter den att ladda ner en nyttolast i första steget, som maskerar sig som en uppdatering för Google Play-tjänster.
Denna nyttolast fungerar oberoende och kräver inte närvaron av den trojaniserade applikationen på samma enhet. Därför påverkar inte AridSpy att avinstallera den ursprungliga trojaniserade applikationen, såsom LapizaChat. Den primära funktionen för nyttolasten i första steget är att ladda ner nästa stegs komponent, som innehåller skadliga funktioner och kommunicerar med en Firebase-domän för Command-and-Control (C2)-ändamål.
Skadlig programvara är utrustad med olika kommandon för att extrahera data från de infekterade enheterna och kan inaktivera sig själv eller initiera dataexfiltrering när den är ansluten till en mobil dataplan. Dataextrahering sker antingen genom specifika kommandon eller utlösta händelser.
Till exempel, när offret låser eller låser upp telefonen, tar AridSpy en bild med den främre kameran och skickar den till exfiltrations C&C-servern. Bilder tas dock bara om det har gått mer än 40 minuter sedan den senaste bilden togs och batterinivån är över 15 %.
