AridSpy 移动恶意软件
名为 AridViper 的网络威胁组织是一系列移动间谍活动的幕后黑手,他们利用植入木马的 Android 应用程序来分发名为 AridSpy 的间谍软件变种。这些威胁性应用程序托管在伪装成合法消息应用程序、求职平台甚至巴勒斯坦民事登记应用程序的欺骗性网站上。在许多情况下,合法应用程序会因集成 AridSpy 的恶意代码而受到攻击。
目录
AridViper 长期以来一直是移动恶意软件威胁的元凶
Arid Viper 又名APT-C-23 、Desert Falcon、Grey Karkadann、Mantis 和 Two-tailed Scorpion,据信与哈马斯有关。自 2017 年出现以来,该组织一直利用移动恶意软件开展行动。从历史上看,Arid Viper 的目标是中东的军事人员、记者和异见人士。该组织仍然活跃,并继续在移动恶意软件领域构成威胁。
最近的活动自 2022 年以来一直在进行,包括多达五个不同的活动。目前,其中三个活动仍在进行中。
AridSpy 通过威胁者创建的虚假移动应用程序进行传播
对最新版本的 AridSpy 的分析表明,它已演变为多阶段木马,能够通过初始木马应用程序从命令和控制 (C2) 服务器下载其他有效负载。此次攻击主要针对巴勒斯坦和埃及的用户,利用虚假网站作为受感染应用程序的分发点。
这些欺骗性应用程序经常伪装成安全的消息服务,例如 LapizaChat、NortirChat 和 ReblyChat,模仿 StealthChat、Session 和 Voxer Walkie Talkie Messenger 等合法平台。此外,另一个应用程序伪装成巴勒斯坦民事登记处。
其中一个网站 palcivilreg.com 于 2023 年 5 月 30 日注册,通过专门的 Facebook 页面进行推广,拥有 179 名粉丝。该网站提供的应用程序仿照 Google Play 商店中同名的应用程序设计。
尽管 palcivilreg.com 上的威胁应用程序并非 Google Play Store 版本的直接副本,但它利用合法应用程序的服务器来收集数据。这表明 Arid Viper 从合法应用程序的功能中汲取了灵感,但开发了自己的客户端层来与正版服务器进行交互。
AridSpy 移动恶意软件的攻击链
安装后,恶意应用程序会根据预定义列表扫描设备上的安全软件。如果未找到任何安全软件,它会继续下载第一阶段的有效负载,该负载会伪装成 Google Play 服务的更新。
此有效负载独立运行,不需要同一设备上存在木马应用程序。因此,卸载初始木马应用程序(例如 LapizaChat)不会影响 AridSpy。第一阶段有效负载的主要功能是下载下一阶段组件,该组件包含有害功能并与 Firebase 域通信以进行命令和控制 (C2) 目的。
该恶意软件配备了各种命令来从受感染的设备中提取数据,并可以在连接到移动数据计划时自行停用或启动数据泄露。数据提取是通过特定命令或触发事件进行的。
例如,当受害者锁定或解锁手机时,AridSpy 会使用前置摄像头拍摄照片并将其发送到渗透 C&C 服务器。但是,只有距离上次拍照已超过 40 分钟且电池电量高于 15% 时,才会捕获图像。
