Phần mềm độc hại di động AridSpy

Nhóm đe dọa mạng có tên AridViper đứng đằng sau một loạt hoạt động gián điệp di động sử dụng các ứng dụng Android bị nhiễm trojan để phân phối một biến thể phần mềm gián điệp có tên AridSpy. Các ứng dụng đe dọa này được lưu trữ trên các trang web lừa đảo mạo danh là ứng dụng nhắn tin hợp pháp, nền tảng tìm kiếm việc làm và thậm chí cả ứng dụng Đăng ký dân sự của người Palestine. Trong nhiều trường hợp, các ứng dụng hợp pháp bị xâm phạm do tích hợp mã xấu của AridSpy.

AridViper có lịch sử lâu dài về các mối đe dọa phần mềm độc hại trên thiết bị di động

Arid Viper, còn được gọi là APT-C-23 , Chim ưng sa mạc, Karkadann xám, Bọ ngựa và Bọ cạp hai đuôi, được cho là có liên quan đến Hamas. Kể từ khi xuất hiện vào năm 2017, nhóm này đã liên tục sử dụng phần mềm độc hại trên thiết bị di động cho hoạt động của mình. Trong lịch sử, Arid Viper đã nhắm mục tiêu vào quân nhân, nhà báo và những người bất đồng chính kiến ở Trung Đông. Nhóm này vẫn tiếp tục hoạt động và tiếp tục gây ra mối đe dọa trong miền phần mềm độc hại di động.

Các hoạt động gần đây hơn đã được tiến hành kể từ năm 2022, bao gồm tối đa năm chiến dịch riêng biệt. Hiện tại, ba trong số các chiến dịch này vẫn đang hoạt động.

AridSpy được phát tán thông qua các ứng dụng di động giả mạo do những kẻ đe dọa tạo ra

Phân tích phiên bản mới nhất của AridSpy cho thấy sự phát triển của nó thành một Trojan nhiều giai đoạn có khả năng tải xuống các tải trọng bổ sung từ máy chủ Chỉ huy và Kiểm soát (C2) thông qua ứng dụng bị trojan hóa ban đầu. Cuộc tấn công chủ yếu nhắm vào người dùng ở Palestine và Ai Cập, sử dụng các trang web giả mạo làm điểm phân phối cho các ứng dụng bị xâm nhập.

Các ứng dụng lừa đảo này thường đóng giả là các dịch vụ nhắn tin an toàn như LapizaChat, NortirChat và ReblyChat, bắt chước các nền tảng hợp pháp như StealthChat, Session và Voxer Walkie Talkie Messenger. Ngoài ra, một ứng dụng khác mạo danh Cơ quan đăng ký dân sự Palestine.

Một trong những trang web này, palcivilreg.com, được đăng ký vào ngày 30 tháng 5 năm 2023, được quảng bá thông qua một trang Facebook chuyên dụng với 179 người theo dõi. Ứng dụng được cung cấp trên trang web này được mô phỏng theo một ứng dụng có tên tương tự được tìm thấy trên Cửa hàng Google Play.

Mặc dù ứng dụng đe dọa trên palcivilreg.com không phải là bản sao trực tiếp của phiên bản Cửa hàng Google Play nhưng nó sử dụng máy chủ của ứng dụng hợp pháp để thu thập dữ liệu. Điều này cho thấy Arid Viper lấy cảm hứng từ chức năng của ứng dụng hợp pháp nhưng đã phát triển lớp ứng dụng khách của riêng mình để tương tác với máy chủ chính hãng.

Chuỗi tấn công của phần mềm độc hại di động AridSpy

Sau khi cài đặt, ứng dụng độc hại sẽ quét phần mềm bảo mật trên thiết bị dựa trên danh sách được xác định trước. Nếu không tìm thấy, nó sẽ tiến hành tải xuống tải trọng giai đoạn đầu, giả dạng là bản cập nhật cho Dịch vụ Google Play.

Tải trọng này hoạt động độc lập, không yêu cầu sự hiện diện của ứng dụng bị trojan hóa trên cùng một thiết bị. Do đó, việc gỡ cài đặt ứng dụng bị nhiễm trojan ban đầu, chẳng hạn như LapizaChat, không ảnh hưởng đến AridSpy. Chức năng chính của tải trọng giai đoạn đầu tiên là tải xuống thành phần giai đoạn tiếp theo, chứa các chức năng có hại và liên lạc với miền Firebase cho mục đích Ra lệnh và Kiểm soát (C2).

Phần mềm độc hại được trang bị nhiều lệnh khác nhau để trích xuất dữ liệu từ các thiết bị bị nhiễm và có thể tự hủy kích hoạt hoặc bắt đầu lọc dữ liệu khi được kết nối với gói dữ liệu di động. Trích xuất dữ liệu xảy ra thông qua các lệnh cụ thể hoặc các sự kiện được kích hoạt.

Ví dụ: khi nạn nhân khóa hoặc mở khóa điện thoại, AridSpy sẽ chụp ảnh bằng camera trước và gửi nó đến máy chủ C&C lấy cắp dữ liệu. Tuy nhiên, hình ảnh chỉ được chụp nếu đã hơn 40 phút kể từ khi chụp bức ảnh cuối cùng và mức pin trên 15%.