AridSpy மொபைல் மால்வேர்
AridViper எனப்படும் சைபர் அச்சுறுத்தல் குழுவானது, AridSpy என்ற ஸ்பைவேர் மாறுபாட்டை விநியோகிக்க, ட்ரோஜனேற்றப்பட்ட ஆண்ட்ராய்டு பயன்பாடுகளைப் பயன்படுத்தும் தொடர்ச்சியான மொபைல் உளவு நடவடிக்கைகளுக்குப் பின்னால் உள்ளது. இந்த அச்சுறுத்தும் பயன்பாடுகள் முறையான செய்தியிடல் பயன்பாடுகள், வேலை தேடுதல் தளம் மற்றும் பாலஸ்தீனிய குடிமைப் பதிவேடு விண்ணப்பம் என ஏமாற்றும் இணையதளங்களில் வழங்கப்படுகின்றன. பல சந்தர்ப்பங்களில், AridSpy இன் மோசமான குறியீட்டை ஒருங்கிணைப்பதன் மூலம் முறையான பயன்பாடுகள் சமரசம் செய்யப்படுகின்றன.
பொருளடக்கம்
AridViper மொபைல் மால்வேர் அச்சுறுத்தல்களின் நீண்ட வரலாற்றைக் கொண்டுள்ளது
APT-C-23 , டெசர்ட் பால்கன், கிரே கர்கடன், மான்டிஸ் மற்றும் டூ-டெயில் ஸ்கார்பியன் என்றும் அழைக்கப்படும் அரிட் வைப்பர், ஹமாஸுடன் தொடர்புடையதாக நம்பப்படுகிறது. 2017 இல் தோன்றியதிலிருந்து, இந்தக் குழு தொடர்ந்து மொபைல் மால்வேரை அதன் செயல்பாடுகளுக்குப் பயன்படுத்துகிறது. வரலாற்று ரீதியாக, Arid Viper மத்திய கிழக்கில் உள்ள இராணுவ வீரர்கள், பத்திரிகையாளர்கள் மற்றும் எதிர்ப்பாளர்களை குறிவைத்துள்ளார். குழு தொடர்ந்து செயலில் உள்ளது மற்றும் மொபைல் மால்வேர் டொமைனில் தொடர்ந்து அச்சுறுத்தலை ஏற்படுத்துகிறது.
மிக சமீபத்திய செயல்பாடுகள் 2022 முதல் நடந்து வருகின்றன, இதில் ஐந்து வெவ்வேறு பிரச்சாரங்கள் வரை உள்ளன. தற்போது, இவற்றில் மூன்று பிரச்சாரங்கள் செயலில் உள்ளன.
AridSpy அச்சுறுத்தல் நடிகர்களால் உருவாக்கப்பட்ட போலி மொபைல் பயன்பாடுகள் மூலம் பரவுகிறது
AridSpy இன் சமீபத்திய மறு செய்கையின் பகுப்பாய்வு, ஆரம்ப ட்ரோஜனேற்றப்பட்ட பயன்பாட்டின் மூலம் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திலிருந்து கூடுதல் பேலோடுகளைப் பதிவிறக்கும் திறன் கொண்ட பல-நிலை ட்ரோஜனாக அதன் பரிணாமத்தை வெளிப்படுத்துகிறது. இந்த தாக்குதல் முதன்மையாக பாலஸ்தீனம் மற்றும் எகிப்தில் உள்ள பயனர்களை குறிவைக்கிறது, சமரசம் செய்யப்பட்ட பயன்பாடுகளுக்கான விநியோக புள்ளிகளாக போலி வலைத்தளங்களைப் பயன்படுத்துகிறது.
இந்த ஏமாற்றும் பயன்பாடுகள், StealthChat, Session மற்றும் Voxer Walkie Talkie Messenger போன்ற முறையான தளங்களைப் பிரதிபலிக்கும் LapizaChat, NortirChat மற்றும் ReblyChat போன்ற பாதுகாப்பான செய்தியிடல் சேவைகளாகப் பயன்படுத்தப்படுகின்றன. கூடுதலாக, மற்றொரு பயன்பாடு பாலஸ்தீனிய குடிமைப் பதிவேட்டாக மாறுகிறது.
இந்த இணையதளங்களில் ஒன்றான, palcivilreg.com, மே 30, 2023 அன்று பதிவுசெய்யப்பட்டது, 179 பின்தொடர்பவர்களுடன் பிரத்யேக Facebook பக்கத்தின் மூலம் விளம்பரப்படுத்தப்படுகிறது. இந்த இணையதளத்தில் வழங்கப்படும் ஆப்ஸ், கூகுள் பிளே ஸ்டோரில் காணப்படும் இதே போன்ற பெயரிடப்பட்ட பயன்பாட்டின் மாதிரியாக வடிவமைக்கப்பட்டுள்ளது.
palcivilreg.com இல் அச்சுறுத்தும் பயன்பாடு Google Play Store பதிப்பின் நேரடி நகல் அல்ல என்றாலும், தரவைச் சேகரிக்க இது முறையான ஆப்ஸின் சேவையகத்தைப் பயன்படுத்துகிறது. இது Arid Viper முறையான பயன்பாட்டின் செயல்பாட்டிலிருந்து உத்வேகம் பெற்றது, ஆனால் உண்மையான சேவையகத்துடன் தொடர்புகொள்வதற்கு அதன் சொந்த கிளையன்ட் லேயரை உருவாக்கியது.
AridSpy மொபைல் மால்வேரின் தாக்குதல் சங்கிலி
நிறுவியவுடன், தீங்கிழைக்கும் பயன்பாடு முன் வரையறுக்கப்பட்ட பட்டியலின் அடிப்படையில் சாதனத்தில் பாதுகாப்பு மென்பொருளை ஸ்கேன் செய்கிறது. எதுவும் கிடைக்கவில்லை என்றால், அது முதல்-நிலை பேலோடைப் பதிவிறக்குகிறது, இது Google Play சேவைகளுக்கான புதுப்பிப்பாக மாறுகிறது.
இந்த பேலோட் சுயாதீனமாக இயங்குகிறது, அதே சாதனத்தில் ட்ரோஜனேற்றப்பட்ட பயன்பாட்டின் இருப்பு தேவையில்லை. எனவே, LapizaChat போன்ற ஆரம்ப ட்ரோஜனேற்றப்பட்ட பயன்பாட்டை நிறுவல் நீக்குவது AridSpy ஐ பாதிக்காது. முதல்-நிலை பேலோடின் முதன்மை செயல்பாடு, அடுத்த கட்ட கூறுகளைப் பதிவிறக்குவதாகும், இது தீங்கு விளைவிக்கும் செயல்பாடுகளைக் கொண்டுள்ளது மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C2) நோக்கங்களுக்காக Firebase டொமைனுடன் தொடர்பு கொள்கிறது.
தீம்பொருள் பாதிக்கப்பட்ட சாதனங்களிலிருந்து தரவைப் பிரித்தெடுக்க பல்வேறு கட்டளைகளுடன் பொருத்தப்பட்டுள்ளது, மேலும் மொபைல் தரவுத் திட்டத்துடன் இணைக்கப்படும்போது தன்னைச் செயலிழக்கச் செய்யலாம் அல்லது தரவு வெளியேற்றத்தைத் தொடங்கலாம். குறிப்பிட்ட கட்டளைகள் அல்லது தூண்டப்பட்ட நிகழ்வுகள் மூலம் தரவு பிரித்தெடுத்தல் நிகழ்கிறது.
உதாரணமாக, பாதிக்கப்பட்டவர் ஃபோனைப் பூட்டும்போது அல்லது திறக்கும்போது, AridSpy முன்பக்கக் கேமராவைப் பயன்படுத்தி ஒரு படத்தைப் படம்பிடித்து அதை வெளியேற்றும் C&C சர்வருக்கு அனுப்புகிறது. இருப்பினும், கடைசிப் படம் எடுக்கப்பட்டு 40 நிமிடங்களுக்கு மேல் ஆகிவிட்டால், பேட்டரி அளவு 15%க்கு மேல் இருந்தால் மட்டுமே படங்கள் எடுக்கப்படும்.
