Зловмисне програмне забезпечення для мобільних пристроїв AridSpy
Група кіберзагроз, відома як AridViper, стоїть за низкою операцій мобільного шпигунства з використанням троянських програм Android для розповсюдження варіанту шпигунського програмного забезпечення під назвою AridSpy. Ці загрозливі додатки розміщуються на оманливих веб-сайтах, які видають себе за законні додатки для обміну повідомленнями, платформу пошуку роботи та навіть заявку на палестинський реєстр громадян. У багатьох випадках законні програми скомпрометовані через інтеграцію поганого коду AridSpy.
Зміст
AridViper має довгу історію загроз мобільного шкідливого програмного забезпечення
Вважається, що посушлива гадюка, також відома як APT-C-23 , сокіл пустелі, сірий каркаданн, богомол і двохвостий скорпіон, пов’язана з ХАМАС. З моменту появи в 2017 році ця група постійно використовує мобільне шкідливе програмне забезпечення для своїх операцій. Історично Arid Viper нападав на військових, журналістів і дисидентів на Близькому Сході. Група залишається активною та продовжує становити загрозу в домені зловмисного програмного забезпечення для мобільних пристроїв.
Найновіші заходи тривають з 2022 року і включають до п’яти окремих кампаній. Наразі три з цих кампаній залишаються активними.
AridSpy поширюється через підроблені мобільні програми, створені зловмисниками
Аналіз останньої ітерації AridSpy показує його еволюцію до багатоетапного трояна, здатного завантажувати додаткові корисні дані з сервера командного керування (C2) через початкову троянську програму. Атака в основному спрямована на користувачів у Палестині та Єгипті, використовуючи підроблені веб-сайти як пункти розповсюдження зламаних програм.
Ці оманливі програми часто видають себе за безпечні служби обміну повідомленнями, такі як LapizaChat, NortirChat і ReblyChat, імітуючи законні платформи, такі як StealthChat, Session і Voxer Walkie Talkie Messenger. Крім того, інший додаток маскується під Палестинський реєстр громадян.
Один із цих веб-сайтів, palcivilreg.com, зареєстрований 30 травня 2023 року, рекламується через спеціальну сторінку у Facebook, на яку підписані 179 осіб. Додаток, запропонований на цьому веб-сайті, створено на основі програми з подібною назвою в Google Play Store.
Хоча загрозлива програма на palcivilreg.com не є прямою копією версії Google Play Store, вона використовує сервер законної програми для збору даних. Це вказує на те, що Arid Viper черпав натхнення з функціональних можливостей законної програми, але розробив власний клієнтський рівень для взаємодії з справжнім сервером.
Ланцюжок атак зловмисного ПЗ AridSpy Mobile
Після інсталяції зловмисна програма сканує програмне забезпечення безпеки на пристрої на основі попередньо визначеного списку. Якщо нічого не знайдено, він переходить до завантаження корисного навантаження першого етапу, яке маскується під оновлення для служб Google Play.
Це корисне навантаження працює незалежно, не вимагаючи присутності троянської програми на тому самому пристрої. Таким чином, видалення початкової троянської програми, наприклад LapizaChat, не впливає на AridSpy. Основною функцією корисного навантаження першого етапу є завантаження компонента наступного етапу, який містить шкідливі функції та взаємодіє з доменом Firebase для цілей командування та керування (C2).
Зловмисне програмне забезпечення оснащене різними командами для отримання даних із заражених пристроїв і може деактивувати себе або ініціювати викрадання даних, коли підключено до тарифного плану мобільного передавання даних. Вилучення даних відбувається за допомогою певних команд або викликаних подій.
Наприклад, коли жертва блокує або розблоковує телефон, AridSpy робить знімок за допомогою передньої камери та надсилає його на сервер C&C. Однак зображення будуть зроблені, лише якщо минуло більше 40 хвилин після останнього знімка, а рівень заряду батареї перевищує 15%.
