Aktérovi známému jako Arid Viper je připisována mobilní špionážní kampaň, která využívá trojanizované aplikace pro Android k doručování spywarového kmene nazvaného AridSpy.
„Malware je distribuován prostřednictvím specializovaných webových stránek, které se vydávají za různé aplikace pro zasílání zpráv, aplikaci pro pracovní příležitosti a aplikaci palestinského občanského registru,“ uvedl ve zprávě zveřejněné Lukáš Štefanko z ESETu. „Často se jedná o existující aplikace, které byly trojanizovány přidáním škodlivého kódu AridSpy.“
Říká se, že tato aktivita od roku 2022 zahrnovala až pět kampaní, přičemž předchozí varianty AridSpy zdokumentovaly společnosti Zimperium a 360 Beacon Labs. Tři z pěti kampaní jsou stále aktivní.
Arid Viper, podezřelý aktér napojený na Hamás, který je také nazýván APT-C-23, Desert Falcon, Grey Karkadann, Mantis a Two-tailed Scorpion, má dlouhou historii používání mobilního malwaru od svého vzniku v roce 2017.
„Arid Viper se v minulosti zaměřoval na vojenský personál na Blízkém východě, stejně jako na novináře a disidenty,“ poznamenal koncem loňského roku SentinelOne a dodal, že skupině „se nadále daří v oblasti mobilního malwaru.“
Analýza nejnovější verze AridSpy provedená společností ESET ukazuje, že byla transformována na vícestupňového trojského koně, který dokáže stahovat další užitečné zatížení ze serveru C2 (command-and-control) pomocí původní aplikace s trojským koněm.
Řetězce útoků zahrnují především cílení na uživatele v Palestině a Egyptě prostřednictvím falešných stránek, které fungují jako distribuční body pro nastražené aplikace.
Některé z falešných, ale funkčních aplikací tvrdí, že jsou bezpečnými službami pro zasílání zpráv, jako jsou LapizaChat, NortirChat a ReblyChat, z nichž každá je založena na legitimních aplikacích, jako je StealthChat, Session a Voxer Walkie Talkie Messenger, zatímco jiná aplikace tvrdí, že pochází z Palestinského občanského registru.
Internetové stránky palestinského občanského rejstříku („palcivilreg. com“), která byla zaregistrována 30. května 2023, byla také inzerována prostřednictvím speciální facebookové stránky, která má 179 sledujících. Aplikace šířená prostřednictvím webu je inspirována stejnojmennou aplikací, která je k dispozici v Obchodě Google Play.
„Škodlivá aplikace dostupná na palcivilreg. com není trojanizovaná verze aplikace na Google Play. Využívá však legitimní server této aplikace k získávání informací,“ uvedl Štefanko. „To znamená, že Arid Viper se inspiroval funkčností této aplikace, ale vytvořil vlastní klientskou vrstvu, která komunikuje s legitimním serverem.“
Společnost ESET dále uvedla, že zjistila, že AridSpy je šířen pod rouškou aplikace pro pracovní příležitosti z webové stránky (almoshell) zaregistrovanou v srpnu 2023. Pozoruhodným aspektem aplikace je, že není založena na žádné legitimní aplikaci.
Po instalaci škodlivá aplikace zkontroluje přítomnost bezpečnostního softwaru na pevně zakódovaném seznamu a pokračuje ve stahování datové části první fáze pouze v případě, že na zařízení není nainstalován žádný z nich. Datová část zosobňuje aktualizaci pro Služby Google Play.
„Tento payload funguje samostatně, bez nutnosti mít na stejném zařízení nainstalovanou trojanizovanou aplikaci,“ vysvětlil Štefanko. „To znamená, že pokud oběť odinstaluje původní trojanizovanou aplikaci, například LapizaChat, AridSpy nebude nijak ovlivněn.
Hlavní zodpovědností první fáze je stažení komponenty další fáze, která obsahuje škodlivé funkce a využívá doménu Firebase pro účely C2.
Malware podporuje širokou škálu příkazů pro sběr dat ze zařízení a může se dokonce deaktivovat nebo provést exfiltraci, když je na mobilním datovém tarifu. Exfiltrace dat se iniciuje buď příkazem, nebo při aktivaci specificky definované události.
„Pokud oběť telefon zamkne nebo odemkne, AridSpy pořídí snímek pomocí přední kamery a odešle jej na exfiltrační C&C server,“ řekl Štefanko. „Snímky jsou pořizovány pouze v případě, že od pořízení posledního snímku uplynulo více než 40 minut a úroveň nabití baterie je vyšší než 15 %.“
V prohlášení sdíleném s The Hacker News Google uvedl, že uživatelé Androidu jsou chráněni před AridSpy pomocí Google Play Protect, vestavěného řešení obrany proti malwaru, které je ve výchozím nastavení povoleno na všech zařízeních.
Zdroj: thehackernews.com