Субъекту угрозы, известному как Arid Viper, приписывают кампанию мобильного шпионажа, которая использует троянские приложения для Android для распространения шпионского ПО, получившего название AridSpy.
"Вредоносное ПО распространяется через специализированные веб-сайты, выдающие себя за различные приложения для обмена сообщениями, приложение для поиска работы и приложение для регистрации актов гражданского состояния Палестины", - сказал в опубликованном сегодня отчете исследователь ESET Лукаш Штефанко. "Часто это существующие приложения, которые были трояны в результате добавления вредоносного кода AridSpy".
Говорят, что с 2022 года активность охватывала целых пять кампаний, причем предыдущие варианты AridSpy были задокументированы Zimperium и 360 Beacon Labs. Три из пяти кампаний все еще активны.
Arid Viper, подозреваемый участник, связанный с ХАМАСОМ, которого также называют APT-C-23, Desert Falcon, Grey Karkadann, Mantis и Two-tailed Scorpion, имеет длинный послужной список использования мобильного вредоносного ПО с момента его появления в 2017 году.
"Arid Viper исторически была нацелена на военнослужащих на Ближнем Востоке, а также журналистов и диссидентов", - отметил в конце прошлого года SentinelOne, добавив, что группа "продолжает процветать в сфере мобильных вредоносных программ".
Проведенный ESET анализ последней версии AridSpy показывает, что она была преобразована в многоступенчатого троянца, который может загружать дополнительные полезные данные с сервера управления (C2) с помощью первоначального троянского приложения.
Цепочки атак в основном нацелены на пользователей в Палестине и Египте через поддельные сайты, которые функционируют как пункты распространения заминированных приложений.
Некоторые поддельные, но функциональные приложения утверждают, что являются безопасными сервисами обмена сообщениями, такими как LapizaChat, NortirChat и ReblyChat, каждое из которых основано на законных приложениях, таких как StealthChat, Session и Voxer Walkie Talkie Messenger, в то время как другое приложение якобы из Реестра актов гражданского состояния Палестины.
Было также обнаружено, что веб-сайт Палестинского гражданского реестра ("palcivilreg [.] com"), зарегистрированный 30 мая 2023 года, рекламируется через специальную страницу Facebook, у которой 179 подписчиков. Приложение, распространяемое через веб-сайт, создано по мотивам одноименного приложения, доступного в Google Play Store.
"Вредоносное приложение, доступное на palcivilreg [.] com, не является троянской версией приложения в Google Play; однако оно использует законный сервер этого приложения для получения информации", - сказал Штефанко. "Это означает, что Arid Viper был вдохновлен функциональностью этого приложения, но создал свой собственный клиентский уровень, который взаимодействует с легитимным сервером".
ESET сообщила, что также обнаружила, что AridSpy распространяется под видом приложения о поиске работы с веб-сайта ("веб-сайт almoshell [.]"), зарегистрированного в августе 2023 года. Примечательным аспектом приложения является то, что оно не основано на каком-либо законном приложении.
После установки вредоносное приложение проверяет наличие защитного программного обеспечения по жестко заданному списку и переходит к загрузке полезной нагрузки первого этапа, только если ни одно из них не установлено на устройстве. Полезная нагрузка выдает себя за обновление для сервисов Google Play.
"Эта полезная нагрузка работает отдельно, без необходимости устанавливать троянское приложение на одно устройство", - объяснил Штефанко. "Это означает, что если жертва удалит исходное троянское приложение, например LapizaChat, AridSpy никоим образом не пострадает".
Основная задача первого этапа - загрузить компонент следующего этапа, который содержит вредоносный функционал и использует домен Firebase для целей C2.
Вредоносное ПО поддерживает широкий спектр команд для сбора данных с устройств и может даже деактивироваться само по себе или выполнять эксфильтрацию при подключении к тарифному плану мобильной передачи данных. Эксфильтрация данных инициируется либо с помощью команды, либо при срабатывании специально определенного события.
"Если жертва заблокирует или разблокирует телефон, AridSpy сделает снимок с помощью фронтальной камеры и отправит его на сервер C & C exfiltration", - сказал Штефанко. "Снимки делаются только в том случае, если с момента последнего снимка прошло более 40 минут и уровень заряда батареи превышает 15%".
"Вредоносное ПО распространяется через специализированные веб-сайты, выдающие себя за различные приложения для обмена сообщениями, приложение для поиска работы и приложение для регистрации актов гражданского состояния Палестины", - сказал в опубликованном сегодня отчете исследователь ESET Лукаш Штефанко. "Часто это существующие приложения, которые были трояны в результате добавления вредоносного кода AridSpy".
Говорят, что с 2022 года активность охватывала целых пять кампаний, причем предыдущие варианты AridSpy были задокументированы Zimperium и 360 Beacon Labs. Три из пяти кампаний все еще активны.
Arid Viper, подозреваемый участник, связанный с ХАМАСОМ, которого также называют APT-C-23, Desert Falcon, Grey Karkadann, Mantis и Two-tailed Scorpion, имеет длинный послужной список использования мобильного вредоносного ПО с момента его появления в 2017 году.
"Arid Viper исторически была нацелена на военнослужащих на Ближнем Востоке, а также журналистов и диссидентов", - отметил в конце прошлого года SentinelOne, добавив, что группа "продолжает процветать в сфере мобильных вредоносных программ".
Проведенный ESET анализ последней версии AridSpy показывает, что она была преобразована в многоступенчатого троянца, который может загружать дополнительные полезные данные с сервера управления (C2) с помощью первоначального троянского приложения.
Цепочки атак в основном нацелены на пользователей в Палестине и Египте через поддельные сайты, которые функционируют как пункты распространения заминированных приложений.
Некоторые поддельные, но функциональные приложения утверждают, что являются безопасными сервисами обмена сообщениями, такими как LapizaChat, NortirChat и ReblyChat, каждое из которых основано на законных приложениях, таких как StealthChat, Session и Voxer Walkie Talkie Messenger, в то время как другое приложение якобы из Реестра актов гражданского состояния Палестины.
Было также обнаружено, что веб-сайт Палестинского гражданского реестра ("palcivilreg [.] com"), зарегистрированный 30 мая 2023 года, рекламируется через специальную страницу Facebook, у которой 179 подписчиков. Приложение, распространяемое через веб-сайт, создано по мотивам одноименного приложения, доступного в Google Play Store.
"Вредоносное приложение, доступное на palcivilreg [.] com, не является троянской версией приложения в Google Play; однако оно использует законный сервер этого приложения для получения информации", - сказал Штефанко. "Это означает, что Arid Viper был вдохновлен функциональностью этого приложения, но создал свой собственный клиентский уровень, который взаимодействует с легитимным сервером".
ESET сообщила, что также обнаружила, что AridSpy распространяется под видом приложения о поиске работы с веб-сайта ("веб-сайт almoshell [.]"), зарегистрированного в августе 2023 года. Примечательным аспектом приложения является то, что оно не основано на каком-либо законном приложении.
После установки вредоносное приложение проверяет наличие защитного программного обеспечения по жестко заданному списку и переходит к загрузке полезной нагрузки первого этапа, только если ни одно из них не установлено на устройстве. Полезная нагрузка выдает себя за обновление для сервисов Google Play.
"Эта полезная нагрузка работает отдельно, без необходимости устанавливать троянское приложение на одно устройство", - объяснил Штефанко. "Это означает, что если жертва удалит исходное троянское приложение, например LapizaChat, AridSpy никоим образом не пострадает".
Основная задача первого этапа - загрузить компонент следующего этапа, который содержит вредоносный функционал и использует домен Firebase для целей C2.
Вредоносное ПО поддерживает широкий спектр команд для сбора данных с устройств и может даже деактивироваться само по себе или выполнять эксфильтрацию при подключении к тарифному плану мобильной передачи данных. Эксфильтрация данных инициируется либо с помощью команды, либо при срабатывании специально определенного события.
"Если жертва заблокирует или разблокирует телефон, AridSpy сделает снимок с помощью фронтальной камеры и отправит его на сервер C & C exfiltration", - сказал Штефанко. "Снимки делаются только в том случае, если с момента последнего снимка прошло более 40 минут и уровень заряда батареи превышает 15%".
