AridSpy มัลแวร์มือถือ

กลุ่มภัยคุกคามทางไซเบอร์ที่รู้จักกันในชื่อ AridViper อยู่เบื้องหลังชุดปฏิบัติการจารกรรมบนมือถือที่ใช้แอปพลิเคชัน Android ที่ถูกโทรจันเพื่อกระจายสปายแวร์รูปแบบหนึ่งชื่อ AridSpy แอปพลิเคชันที่คุกคามเหล่านี้โฮสต์อยู่บนเว็บไซต์หลอกลวงซึ่งวางตัวเป็นแอปส่งข้อความที่ถูกต้องตามกฎหมาย แพลตฟอร์มค้นหางาน และแม้แต่แอปพลิเคชันทะเบียนราษฎรปาเลสไตน์ ในหลายกรณี แอปพลิเคชันที่ถูกกฎหมายจะถูกบุกรุกโดยการรวมโค้ดที่ไม่ถูกต้องของ AridSpy เข้าด้วยกัน

AridViper มีประวัติภัยคุกคามมัลแวร์บนมือถือมายาวนาน

ไวเปอร์แห้งแล้ง หรือที่รู้จักในชื่อ APT-C-23 , เหยี่ยวทะเลทราย, เกรย์ คาร์คาแดนน์, ตั๊กแตนตำข้าว และแมงป่องสองหาง เชื่อกันว่ามีความเกี่ยวข้องกับกลุ่มฮามาส นับตั้งแต่ก่อตั้งในปี 2560 กลุ่มนี้ได้ใช้มัลแวร์มือถือในการดำเนินงานอย่างต่อเนื่อง ในอดีต Arid Viper มุ่งเป้าไปที่บุคลากรทางทหาร นักข่าว และผู้เห็นต่างในตะวันออกกลาง กลุ่มนี้ยังคงทำงานอยู่และยังคงเป็นภัยคุกคามในโดเมนมัลแวร์มือถือ

กิจกรรมล่าสุดดำเนินมาตั้งแต่ปี 2565 ซึ่งประกอบด้วยแคมเปญที่แตกต่างกันถึงห้าแคมเปญ ปัจจุบัน แคมเปญทั้ง 3 แคมเปญยังคงทำงานอยู่

AridSpy แพร่กระจายผ่านแอปพลิเคชั่นมือถือปลอมที่สร้างโดยผู้คุกคาม

การวิเคราะห์การทำซ้ำล่าสุดของ AridSpy เผยให้เห็นวิวัฒนาการของโทรจันแบบหลายขั้นตอนที่สามารถดาวน์โหลดเพย์โหลดเพิ่มเติมจากเซิร์ฟเวอร์ Command-and-Control (C2) ผ่านแอปพลิเคชันโทรจันเริ่มต้น การโจมตีมุ่งเป้าไปที่ผู้ใช้ในปาเลสไตน์และอียิปต์เป็นหลัก โดยใช้เว็บไซต์ปลอมเป็นจุดกระจายสำหรับแอปพลิเคชันที่ถูกบุกรุก

แอปพลิเคชันหลอกลวงเหล่านี้มักทำหน้าที่เป็นบริการส่งข้อความที่ปลอดภัย เช่น LapizaChat, NortirChat และ ReblyChat โดยเลียนแบบแพลตฟอร์มที่ถูกต้องตามกฎหมาย เช่น StealthChat, Session และ Voxer Walkie Talkie Messenger นอกจากนี้ ยังมีแอปอีกตัวที่ปลอมแปลงเป็นทะเบียนราษฎรปาเลสไตน์

หนึ่งในเว็บไซต์เหล่านี้ palcivilreg.com ซึ่งลงทะเบียนเมื่อวันที่ 30 พฤษภาคม 2023 ได้รับการโปรโมตผ่านเพจ Facebook เฉพาะที่มีผู้ติดตาม 179 คน แอพที่นำเสนอบนเว็บไซต์นี้จำลองมาจากแอพที่มีชื่อคล้ายกันที่พบใน Google Play Store

แม้ว่าแอปพลิเคชันที่เป็นอันตรายบน palcivilreg.com จะไม่ใช่สำเนาโดยตรงของเวอร์ชัน Google Play Store แต่จะใช้เซิร์ฟเวอร์ของแอปที่ถูกกฎหมายในการรวบรวมข้อมูล สิ่งนี้บ่งชี้ว่า Arid Viper ได้รับแรงบันดาลใจจากฟังก์ชันการทำงานของแอปที่ถูกต้องตามกฎหมาย แต่ได้พัฒนาเลเยอร์ไคลเอนต์ของตัวเองเพื่อโต้ตอบกับเซิร์ฟเวอร์ของแท้

ห่วงโซ่การโจมตีของมัลแวร์มือถือ AridSpy

ขณะติดตั้ง แอปพลิเคชันที่เป็นอันตรายจะสแกนหาซอฟต์แวร์ความปลอดภัยบนอุปกรณ์ตามรายการที่กำหนดไว้ล่วงหน้า หากไม่พบ ระบบจะดำเนินการดาวน์โหลดเพย์โหลดขั้นแรกซึ่งปลอมแปลงเป็นการอัปเดตสำหรับบริการ Google Play

เพย์โหลดนี้ทำงานโดยอิสระ โดยไม่ต้องมีแอปพลิเคชันโทรจันบนอุปกรณ์เดียวกัน ดังนั้นการถอนการติดตั้งแอปพลิเคชั่นโทรจันเริ่มต้นเช่น LapizaChat จะไม่ส่งผลกระทบต่อ AridSpy ฟังก์ชันหลักของเพย์โหลดขั้นแรกคือการดาวน์โหลดส่วนประกอบขั้นต่อไปซึ่งมีฟังก์ชันที่เป็นอันตรายและสื่อสารกับโดเมน Firebase เพื่อวัตถุประสงค์ในการสั่งการและควบคุม (C2)

มัลแวร์มีคำสั่งต่างๆ เพื่อดึงข้อมูลจากอุปกรณ์ที่ติดไวรัสและสามารถปิดใช้งานตัวเองหรือเริ่มต้นการขโมยข้อมูลเมื่อเชื่อมต่อกับแผนบริการข้อมูลมือถือ การดึงข้อมูลเกิดขึ้นผ่านคำสั่งเฉพาะหรือเหตุการณ์ที่ถูกทริกเกอร์

ตัวอย่างเช่น เมื่อเหยื่อล็อคหรือปลดล็อคโทรศัพท์ AridSpy จะจับภาพโดยใช้กล้องหน้าและส่งไปยังเซิร์ฟเวอร์ C&C ที่กรองข้อมูล อย่างไรก็ตาม ภาพจะถูกบันทึกเฉพาะเมื่อใช้เวลานานกว่า 40 นาทีนับตั้งแต่ภาพสุดท้ายที่ถ่าย และระดับแบตเตอรี่สูงกว่า 15%