Haker poznat kao Arid Viper pripisuje se kampanji mobilne špijunaže koja koristi trojanizirane Android aplikacije za isporuku špijunskog softvera pod nazivom AridSpy.
“Zlonamjerni softver se distribuira putem namjenskih web stranica koje imitiraju različite aplikacije za razmjenu poruka, aplikaciju za zapošljavanje i aplikaciju Palestinskog građanskog registra”, rekao je istraživač ESET-a Lukáš Štefanko u izvještaju objavljenom danas. “Često su to postojeće aplikacije koje su bile trojanizirane dodavanjem zlonamjernog koda AridSpy.
Rečeno je da je aktivnost obuhvatila čak pet kampanja od 2022. godine, sa prethodnim varijantama AridSpy-a koje su dokumentovale Zimperium i 360 Beacon Labs. Tri od pet kampanja i dalje su aktivne.
Arid Viper, osumnjičeni haker povezan sa Hamasom, koji se takođe zove APT-C-23, Desert Falcon, Grey Karkadann, Mantis i Two-tailed Scorpion, ima dugu evidenciju korištenja malvera za mobilne uređaje od njegovog pojavljivanja 2017. godine.
ESET-ova analiza najnovije verzije AridSpy-a pokazuje da je ona transformirana u multi-stage trojanca koji može preuzeti dodatne korisne sadržaje sa servera za command-and-control (C2) pomoću početne, trojanizirane aplikacije
Lanci napada uglavnom uključuju ciljanje korisnika u Palestini i Egiptu putem lažnih web lokacija koje funkcionišu kao distribucijske tačke za booby-trapped aplikacije.
Neke od lažnih, ali funkcionalnih aplikacija tvrde da su sigurne usluge za razmjenu poruka kao što su LapizaChat, NortirChat i ReblyChat, od kojih je svaka bazirana na legitimnim aplikacijama poput StealthChat, Session i Voxer Walkie Talkie Messenger, dok druga aplikacija navodno potiče od Palestinski civilni registar.
Utvrđeno je da se web stranica Palestinskog civilnog registra (“palcivilreg[.]com”), koja je registrovana 30. maja 2023. godine, oglašavala putem namjenske Facebook stranice koja ima 179 pratilaca. Aplikacija koja se širi putem web stranice inspirisana je istoimenom aplikacijom koja je dostupna na Google Play prodavnici.
“Zlonamjerna aplikacija dostupna na palcivilreg[.]com nije trojanizirana verzija aplikacije na Google Play-u; međutim, koristi legitimni server te aplikacije za dohvaćanje informacija,” rekao je Štefanko. “To znači da je Arid Viper inspiriran funkcionalnošću te aplikacije, ali je stvorio vlastiti sloj klijenta koji komunicira sa legitimnim serverom.”
ESET je rekao da je dalje otkrio da se AridSpy širi pod maskom aplikacije za posao sa web stranice („almoshell[.]website“) registrirane u avgustu 2023. Značajan aspekt aplikacije je to što nije zasnovana na bilo kojoj legitimnoj aplikaciji.
Po instalaciji, zlonamjerna aplikacija provjerava prisutnost sigurnosnog softvera prema tvrdo kodiranoj listi i nastavlja sa preuzimanjem prve faze samo ako nijedan od njih nije instaliran na uređaju. Korisni teret predstavlja ažuriranje za Google Play usluge.
“Ovo korisno opterećenje radi odvojeno, bez potrebe da se trojanizirana aplikacija instalira na isti uređaj”, objasnio je Štefanko. “To znači da ako žrtva deinstalira početnu trojaniziranu aplikaciju, na primjer LapizaChat, AridSpy neće biti na bilo koji način pogođen.”
Glavna odgovornost prve faze je preuzimanje komponente sljedeće faze, koja sadrži zlonamjernu funkcionalnost i koristi Firebase domenu za C2 svrhe.
Zlonamjerni softver podržava širok raspon naredbi za prikupljanje podataka sa uređaja, a može se čak i sam deaktivirati ili izvršiti eksfiltraciju kada je na mobilnom planu podataka. Eksfiltracija podataka se pokreće bilo pomoću naredbe ili kada se aktivira posebno definirani događaj.
„Ako žrtva zaključa ili otključa telefon, AridSpy će snimiti sliku pomoću prednje kamere i poslati je na C&C server za eksfiltraciju,“ rekao je Štefanko. “Slike se snimaju samo ako je prošlo više od 40 minuta od zadnjeg snimanja i ako je nivo baterije iznad 15%.”
Izvor:The Hacker News
