AridSpy Mobile Malware
Ang cyber threat group na kilala bilang AridViper ay nasa likod ng isang serye ng mga mobile espionage operation na gumagamit ng mga trojanized na Android application upang ipamahagi ang isang spyware na variant na pinangalanang AridSpy. Ang mga nagbabantang aplikasyon na ito ay naka-host sa mga mapanlinlang na website na nagpapanggap bilang mga lehitimong app sa pagmemensahe, isang platform sa paghahanap ng trabaho, at maging isang Palestinian Civil Registry na application. Sa maraming mga kaso, ang mga lehitimong aplikasyon ay nakompromiso sa pamamagitan ng pagsasama ng masamang code ng AridSpy.
Talaan ng mga Nilalaman
Ang AridViper ay May Mahabang Kasaysayan ng Mga Banta sa Mobile Malware
Ang Arid Viper, na kilala rin bilang APT-C-23 , Desert Falcon, Gray Karkadann, Mantis, at Two-tailed Scorpion, ay pinaniniwalaang nauugnay sa Hamas. Mula nang lumitaw ito noong 2017, ang pangkat na ito ay patuloy na gumagamit ng mobile malware para sa mga operasyon nito. Sa kasaysayan, target ng Arid Viper ang mga tauhan ng militar, mamamahayag, at mga dissidente sa Middle East. Patuloy na aktibo ang grupo at patuloy na nagdudulot ng banta sa domain ng mobile malware.
Ang mas kamakailang mga aktibidad ay nagpapatuloy mula noong 2022, na binubuo ng hanggang limang natatanging kampanya. Sa kasalukuyan, tatlo sa mga kampanyang ito ang nananatiling aktibo.
Ang AridSpy ay Kumakalat sa pamamagitan ng Mga Pekeng Mobile Application na Nilikha ng Mga Aktor ng Banta
Ang pagsusuri sa pinakabagong pag-ulit ng AridSpy ay nagpapakita ng ebolusyon nito sa isang multi-stage na Trojan na may kakayahang mag-download ng mga karagdagang payload mula sa isang Command-and-Control (C2) server sa pamamagitan ng paunang trojanized na application. Pangunahing pinupuntirya ng pag-atake ang mga user sa Palestine at Egypt, na gumagamit ng mga pekeng website bilang mga distribution point para sa mga nakompromisong application.
Ang mga mapanlinlang na application na ito ay madalas na nagpapanggap bilang mga secure na serbisyo sa pagmemensahe gaya ng LapizaChat, NortirChat, at ReblyChat, na ginagaya ang mga lehitimong platform tulad ng StealthChat, Session at ang Voxer Walkie Talkie Messenger. Bukod pa rito, isa pang app ang nagpapanggap bilang Palestinian Civil Registry.
Isa sa mga website na ito, ang palcivilreg.com, na nakarehistro noong Mayo 30, 2023, ay na-promote sa pamamagitan ng nakalaang Facebook page na may 179 na tagasunod. Ang app na inaalok sa website na ito ay naka-modelo sa isang katulad na pinangalanang app na makikita sa Google Play Store.
Bagama't ang pagbabanta ng application sa palcivilreg.com ay hindi direktang kopya ng bersyon ng Google Play Store, ginagamit nito ang server ng lehitimong app upang mangalap ng data. Ito ay nagpapahiwatig na ang Arid Viper ay nakakuha ng inspirasyon mula sa lehitimong pagpapagana ng app ngunit bumuo ng sarili nitong client layer upang makipag-ugnayan sa tunay na server.
Attack Chain ng AridSpy Mobile Malware
Sa pag-install, ang nakakahamak na application ay nag-scan para sa software ng seguridad sa device batay sa isang paunang natukoy na listahan. Kung walang mahanap, magpapatuloy ito sa pag-download ng unang yugto ng payload, na nagpapanggap bilang isang update para sa Mga Serbisyo ng Google Play.
Ang payload na ito ay gumagana nang nakapag-iisa, hindi nangangailangan ng pagkakaroon ng trojanized na application sa parehong device. Samakatuwid, ang pag-uninstall ng paunang trojanized na application, tulad ng LapizaChat, ay hindi makakaapekto sa AridSpy. Ang pangunahing function ng unang yugto ng payload ay ang pag-download ng susunod na yugto na bahagi, na naglalaman ng mga mapaminsalang functionality at nakikipag-ugnayan sa isang Firebase domain para sa mga layunin ng Command-and-Control (C2).
Ang malware ay nilagyan ng iba't ibang command upang kunin ang data mula sa mga nahawaang device at maaaring i-deactivate ang sarili nito o simulan ang pag-exfiltration ng data kapag nakakonekta sa isang mobile data plan. Ang pagkuha ng data ay nangyayari alinman sa pamamagitan ng mga partikular na command o na-trigger na mga kaganapan.
Halimbawa, kapag ni-lock o na-unlock ng biktima ang telepono, kumukuha si AridSpy ng larawan gamit ang front camera at ipinapadala ito sa exfiltration C&C server. Gayunpaman, ang mga larawan ay nakunan lamang kung ito ay higit sa 40 minuto mula noong huling larawan ay kinuha, at ang antas ng baterya ay higit sa 15%.
