AridSpy Mobil Kötü Amaçlı Yazılım
AridViper olarak bilinen siber tehdit grubu, AridSpy adlı bir casus yazılım çeşidini dağıtmak için truva atı haline getirilmiş Android uygulamalarını kullanan bir dizi mobil casusluk operasyonunun arkasında yer alıyor. Bu tehdit edici uygulamalar, meşru mesajlaşma uygulamaları, iş arama platformu ve hatta Filistin Sivil Kayıt başvurusu gibi görünen aldatıcı web sitelerinde barındırılmaktadır. Çoğu durumda, AridSpy'ın hatalı kodunun entegre edilmesiyle meşru uygulamalar tehlikeye girer.
İçindekiler
AridViper'ın Mobil Kötü Amaçlı Yazılım Tehditleri Konusunda Uzun Bir Geçmişi Var
APT-C-23 , Çöl Şahini, Gri Karkadann, Mantis ve İki Kuyruklu Akrep olarak da bilinen Kurak Engerek'in Hamas'la ilişkili olduğuna inanılıyor. Bu grup, 2017 yılında ortaya çıkışından bu yana, operasyonlarında sürekli olarak mobil kötü amaçlı yazılımlardan yararlanıyor. Tarihsel olarak Kurak Engerek, Orta Doğu'daki askeri personeli, gazetecileri ve muhalifleri hedef almıştır. Grup aktifliğini sürdürüyor ve mobil kötü amaçlı yazılım alanında tehdit oluşturmaya devam ediyor.
Beş ayrı kampanyayı kapsayan daha yeni etkinlikler 2022'den bu yana devam ediyor. Şu anda bu kampanyalardan üçü aktif durumda.
AridSpy, Tehdit Aktörleri Tarafından Oluşturulan Sahte Mobil Uygulamalar Aracılığıyla Yayılıyor
AridSpy'ın en son sürümünün analizi, ilk truva atı haline getirilmiş uygulama aracılığıyla bir Komuta ve Kontrol (C2) sunucusundan ek yükler indirebilen çok aşamalı bir Truva atına dönüştüğünü ortaya koyuyor. Saldırı öncelikle Filistin ve Mısır'daki kullanıcıları hedef alıyor ve sahte web sitelerini ele geçirilen uygulamalar için dağıtım noktaları olarak kullanıyor.
Bu aldatıcı uygulamalar genellikle LapizaChat, NortirChat ve ReblyChat gibi güvenli mesajlaşma hizmetleri gibi davranarak StealthChat, Session ve Voxer Walkie Talkie Messenger gibi meşru platformları taklit ediyor. Ek olarak, başka bir uygulama Filistin Nüfus Dairesi kılığına giriyor.
Bu web sitelerinden biri olan palcivilreg.com, 30 Mayıs 2023'te kayıtlı olup, 179 takipçili özel bir Facebook sayfası aracılığıyla tanıtılmaktadır. Bu web sitesinde sunulan uygulama, Google Play Store'da bulunan benzer isimli bir uygulama örnek alınarak modellenmiştir.
palcivilreg.com'daki tehdit uygulaması Google Play Store sürümünün doğrudan bir kopyası olmasa da veri toplamak için meşru uygulamanın sunucusunu kullanıyor. Bu, Arid Viper'ın meşru uygulamanın işlevselliğinden ilham aldığını ancak orijinal sunucuyla etkileşim kurmak için kendi istemci katmanını geliştirdiğini gösteriyor.
AridSpy Mobil Kötü Amaçlı Yazılımının Saldırı Zinciri
Kurulumun ardından kötü amaçlı uygulama, önceden tanımlanmış bir listeye göre cihazdaki güvenlik yazılımını tarar. Hiçbiri bulunamazsa, Google Play Hizmetleri güncellemesi gibi görünen birinci aşama veriyi indirmeye devam eder.
Bu veri, truva atı haline getirilmiş uygulamanın aynı cihazda bulunmasını gerektirmeden bağımsız olarak çalışır. Bu nedenle, LapizaChat gibi truva atı bulaştırılmış ilk uygulamanın kaldırılması AridSpy'ı etkilemez. İlk aşama yükünün birincil işlevi, zararlı işlevler içeren ve Komuta ve Kontrol (C2) amacıyla bir Firebase alanıyla iletişim kuran sonraki aşama bileşenini indirmektir.
Kötü amaçlı yazılım, virüslü cihazlardan veri çıkarmak için çeşitli komutlarla donatılmıştır ve bir mobil veri planına bağlandığında kendini devre dışı bırakabilir veya veri sızıntısı başlatabilir. Veri çıkarma, belirli komutlar veya tetiklenen olaylar yoluyla gerçekleşir.
Örneğin, kurban telefonu kilitlediğinde veya kilidini açtığında, AridSpy ön kamerayı kullanarak bir resim çeker ve bunu sızıntı C&C sunucusuna gönderir. Ancak görüntüler yalnızca son fotoğrafın çekilmesinin üzerinden 40 dakikadan fazla zaman geçmişse ve pil seviyesi %15'in üzerindeyse çekilir.
