AridSpy 行動惡意軟體

名為 AridViper 的網路威脅組織是一系列行動間諜活動的幕後黑手，這些活動利用木馬 Android 應用程式來分發名為 AridSpy 的間諜軟體變體。這些威脅應用程式託管在欺騙性網站上，這些網站冒充合法的訊息應用程式、求職平台，甚至是巴勒斯坦民事登記應用程式。在許多情況下，合法的應用程式會因整合 AridSpy 的不良程式碼而受到損害。

AridViper 的行動惡意軟體威脅由來已久

乾旱蝰蛇，也稱為APT-C-23 、沙漠獵鷹、灰卡卡丹、螳螂和雙尾蝎子，據信與哈馬斯有關。自 2017 年出現以來，該組織一直利用行動惡意軟體進行營運。從歷史上看，Arid Viper 的目標是中東的軍事人員、記者和持不同政見者。該組織持續活躍，並繼續在行動惡意軟體領域構成威脅。

最近的活動自 2022 年以來一直在進行，包括多達五個不同的活動。目前，其中三項活動仍然活躍。

AridSpy 透過威脅行為者創建的虛假行動應用程式進行傳播

對 AridSpy 最新版本的分析表明，它已演變為多階段特洛伊木馬，能夠透過初始特洛伊木馬應用程式從命令與控制 (C2) 伺服器下載額外的有效負載。該攻擊主要針對巴勒斯坦和埃及的用戶，利用虛假網站作為受感染應用程式的分發點。

這些欺騙性應用程式通常冒充安全訊息服務，例如 LapizaChat、NortirChat 和 ReblyChat，模仿 StealthChat、Session 和 Voxer Walkie Talkie Messenger 等合法平台。此外，另一個應用程式偽裝成巴勒斯坦民事登記處。

其中一個網站 palcivilreg.com 於 2023 年 5 月 30 日註冊，透過專門的 Facebook 頁面進行推廣，擁有 179 位追蹤者。該網站上提供的應用程式是根據 Google Play 商店中找到的類似名稱的應用程式建模的。

儘管 palcivilreg.com 上的威脅應用程式不是 Google Play 商店版本的直接副本，但它利用合法應用程式的伺服器來收集資料。這表明 Arid Viper 從合法應用程式的功能中汲取了靈感，但開發了自己的客戶端層來與正版伺服器互動。

AridSpy行動惡意軟體的攻擊鏈

安裝後，惡意應用程式會根據預定義清單掃描裝置上的安全軟體。如果沒有找到，它將繼續下載第一階段的有效負載，該有效負載偽裝成 Google Play 服務的更新。

此有效負載獨立運行，不需要同一設備上存在木馬應用程式。因此，卸載初始木馬應用程式（例如 LapizaChat）不會影響 AridSpy。第一階段有效負載的主要功能是下載下一階段元件，該元件包含有害功能並與 Firebase 網域進行通訊以實現命令和控制 (C2) 目的。

該惡意軟體配備了各種命令，可從受感染的設備中提取數據，並且可以在連接到行動數據計劃時自行停用或啟動資料外洩。資料提取透過特定命令或觸發事件進行。

例如，當受害者鎖定或解鎖手機時，AridSpy 使用前置鏡頭捕獲圖片並將其發送到滲透 C&C 伺服器。但是，僅在距離上次拍攝照片超過 40 分鐘且電池電量高於 15% 時才會拍攝影像。