AridSpy మొబైల్ మాల్వేర్

AridViper అని పిలువబడే సైబర్ ముప్పు సమూహం AridSpy అనే స్పైవేర్ వేరియంట్‌ను పంపిణీ చేయడానికి ట్రోజనైజ్డ్ Android అప్లికేషన్‌లను ఉపయోగించే మొబైల్ గూఢచర్య కార్యకలాపాల శ్రేణి వెనుక ఉంది. ఈ బెదిరింపు అప్లికేషన్‌లు చట్టబద్ధమైన మెసేజింగ్ యాప్‌లు, జాబ్ సెర్చ్ ప్లాట్‌ఫారమ్ మరియు పాలస్తీనియన్ సివిల్ రిజిస్ట్రీ అప్లికేషన్ వంటి మోసపూరిత వెబ్‌సైట్‌లలో హోస్ట్ చేయబడ్డాయి. అనేక సందర్భాల్లో, AridSpy యొక్క చెడ్డ కోడ్‌ను ఏకీకృతం చేయడం ద్వారా చట్టబద్ధమైన అప్లికేషన్‌లు రాజీపడతాయి.

AridViper మొబైల్ మాల్వేర్ బెదిరింపుల యొక్క సుదీర్ఘ చరిత్రను కలిగి ఉంది

APT-C-23 , డెసర్ట్ ఫాల్కన్, గ్రే కర్కాడన్, మాంటిస్ మరియు టూ-టెయిల్డ్ స్కార్పియన్ అని కూడా పిలువబడే ఆరిడ్ వైపర్, హమాస్‌తో సంబంధం కలిగి ఉన్నట్లు నమ్ముతారు. 2017లో ఆవిర్భవించినప్పటి నుండి, ఈ సమూహం తన కార్యకలాపాల కోసం మొబైల్ మాల్వేర్‌ను స్థిరంగా ఉపయోగించుకుంది. చారిత్రాత్మకంగా, ఆరిడ్ వైపర్ మిడిల్ ఈస్ట్‌లోని సైనిక సిబ్బంది, పాత్రికేయులు మరియు అసమ్మతివాదులను లక్ష్యంగా చేసుకున్నాడు. సమూహం సక్రియంగా కొనసాగుతుంది మరియు మొబైల్ మాల్వేర్ డొమైన్‌లో ముప్పును కలిగిస్తుంది.

ఇటీవలి కార్యకలాపాలు 2022 నుండి కొనసాగుతున్నాయి, ఇందులో ఐదు విభిన్న ప్రచారాలు ఉన్నాయి. ప్రస్తుతం, వీటిలో మూడు ప్రచారాలు చురుకుగా ఉన్నాయి.

AridSpy థ్రెట్ యాక్టర్స్ సృష్టించిన నకిలీ మొబైల్ అప్లికేషన్ల ద్వారా వ్యాప్తి చెందుతుంది

AridSpy యొక్క తాజా పునరావృతం యొక్క విశ్లేషణ ప్రారంభ ట్రోజనైజ్డ్ అప్లికేషన్ ద్వారా కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్ నుండి అదనపు పేలోడ్‌లను డౌన్‌లోడ్ చేయగల బహుళ-దశ ట్రోజన్‌గా దాని పరిణామాన్ని వెల్లడిస్తుంది. దాడి ప్రాథమికంగా పాలస్తీనా మరియు ఈజిప్ట్‌లోని వినియోగదారులను లక్ష్యంగా చేసుకుంది, రాజీపడిన అప్లికేషన్‌ల కోసం నకిలీ వెబ్‌సైట్‌లను పంపిణీ పాయింట్‌లుగా ఉపయోగించుకుంటుంది.

ఈ మోసపూరిత అప్లికేషన్‌లు తరచుగా స్టెల్త్‌చాట్, సెషన్ మరియు వోక్సర్ వాకీ టాకీ మెసెంజర్ వంటి చట్టబద్ధమైన ప్లాట్‌ఫారమ్‌లను అనుకరిస్తూ LapizaChat, NortirChat మరియు ReblyChat వంటి సురక్షిత సందేశ సేవలను అందిస్తున్నాయి. అదనంగా, మరొక యాప్ పాలస్తీనియన్ సివిల్ రిజిస్ట్రీగా మాస్క్వెరేడ్ చేయబడింది.

ఈ వెబ్‌సైట్‌లలో ఒకటైన, palcivilreg.com, మే 30, 2023న రిజిస్టర్ చేయబడింది, 179 మంది అనుచరులతో ప్రత్యేక Facebook పేజీ ద్వారా ప్రచారం చేయబడింది. ఈ వెబ్‌సైట్‌లో అందించబడిన యాప్ Google Play Storeలో కనుగొనబడిన అదే పేరుతో ఉన్న యాప్‌తో రూపొందించబడింది.

palcivilreg.comలో బెదిరింపు అప్లికేషన్ Google Play Store వెర్షన్ యొక్క ప్రత్యక్ష కాపీ కానప్పటికీ, డేటాను సేకరించేందుకు ఇది చట్టబద్ధమైన యాప్ యొక్క సర్వర్‌ను ఉపయోగిస్తుంది. ఇది Arid Viper చట్టబద్ధమైన యాప్ యొక్క కార్యాచరణ నుండి ప్రేరణ పొందిందని, అయితే నిజమైన సర్వర్‌తో పరస్పర చర్య చేయడానికి దాని స్వంత క్లయింట్ లేయర్‌ను అభివృద్ధి చేసిందని ఇది సూచిస్తుంది.

AridSpy మొబైల్ మాల్వేర్ యొక్క దాడి గొలుసు

ఇన్‌స్టాలేషన్ తర్వాత, హానికరమైన అప్లికేషన్ ముందే నిర్వచించిన జాబితా ఆధారంగా పరికరంలో భద్రతా సాఫ్ట్‌వేర్ కోసం స్కాన్ చేస్తుంది. ఏదీ కనుగొనబడకపోతే, ఇది మొదటి-దశ పేలోడ్‌ను డౌన్‌లోడ్ చేయడానికి కొనసాగుతుంది, ఇది Google Play సేవలకు అప్‌డేట్‌గా మాస్క్వెరేడ్ అవుతుంది.

ఈ పేలోడ్ స్వతంత్రంగా పనిచేస్తుంది, అదే పరికరంలో ట్రోజనైజ్డ్ అప్లికేషన్ యొక్క ఉనికి అవసరం లేదు. అందువల్ల, LapizaChat వంటి ప్రారంభ ట్రోజనైజ్డ్ అప్లికేషన్‌ను అన్‌ఇన్‌స్టాల్ చేయడం AridSpyని ప్రభావితం చేయదు. మొదటి-దశ పేలోడ్ యొక్క ప్రాథమిక విధి, తదుపరి-దశ కాంపోనెంట్‌ను డౌన్‌లోడ్ చేయడం, ఇది హానికరమైన కార్యాచరణలను కలిగి ఉంటుంది మరియు కమాండ్-అండ్-కంట్రోల్ (C2) ప్రయోజనాల కోసం ఫైర్‌బేస్ డొమైన్‌తో కమ్యూనికేట్ చేస్తుంది.

మాల్వేర్ సోకిన పరికరాల నుండి డేటాను సంగ్రహించడానికి వివిధ ఆదేశాలతో అమర్చబడి ఉంటుంది మరియు మొబైల్ డేటా ప్లాన్‌కి కనెక్ట్ అయినప్పుడు దానికదే డియాక్టివేట్ చేయవచ్చు లేదా డేటా ఎక్స్‌ఫిల్ట్రేషన్‌ను ప్రారంభించవచ్చు. నిర్దిష్ట ఆదేశాలు లేదా ట్రిగ్గర్డ్ ఈవెంట్‌ల ద్వారా డేటా వెలికితీత జరుగుతుంది.

ఉదాహరణకు, బాధితుడు ఫోన్‌ను లాక్ చేసినప్పుడు లేదా అన్‌లాక్ చేసినప్పుడు, AridSpy ఫ్రంట్ కెమెరాను ఉపయోగించి చిత్రాన్ని క్యాప్చర్ చేసి దానిని ఎక్స్‌ఫిల్ట్రేషన్ C&C సర్వర్‌కు పంపుతుంది. అయితే, చివరి చిత్రం తీసినప్పటి నుండి 40 నిమిషాల కంటే ఎక్కువ సమయం తీసుకున్నట్లయితే మరియు బ్యాటరీ స్థాయి 15% కంటే ఎక్కువగా ఉంటే మాత్రమే చిత్రాలు క్యాప్చర్ చేయబడతాయి.