Mobile Malware von AridSpy
Die Cyberbedrohungsgruppe AridViper steckt hinter einer Reihe von mobilen Spionageoperationen, bei denen sie mit Trojanern infizierte Android-Anwendungen nutzt, um eine Spyware-Variante namens AridSpy zu verbreiten. Diese bedrohlichen Anwendungen werden auf betrügerischen Websites gehostet, die sich als legitime Messaging-Apps, eine Jobsuchplattform und sogar eine palästinensische Zivilregisteranwendung ausgeben. In vielen Fällen werden legitime Anwendungen durch die Integration des schädlichen Codes von AridSpy kompromittiert.
Inhaltsverzeichnis
AridViper ist seit langem durch Malware-Bedrohungen für Mobilgeräte gefährdet
Arid Viper, auch bekannt als APT-C-23 , Desert Falcon, Grey Karkadann, Mantis und Two-tailed Scorpion, wird vermutlich mit der Hamas in Verbindung gebracht. Seit ihrem Auftauchen im Jahr 2017 hat diese Gruppe für ihre Operationen konsequent mobile Malware eingesetzt. In der Vergangenheit hat Arid Viper Militärangehörige, Journalisten und Dissidenten im Nahen Osten ins Visier genommen. Die Gruppe ist weiterhin aktiv und stellt im Bereich mobiler Malware weiterhin eine Bedrohung dar.
Die neueren Aktivitäten laufen seit 2022 und umfassen bis zu fünf verschiedene Kampagnen. Derzeit sind drei dieser Kampagnen aktiv.
AridSpy wird über gefälschte mobile Anwendungen verbreitet, die von Bedrohungsakteuren erstellt wurden
Die Analyse der neuesten Version von AridSpy zeigt, dass sich der Trojaner zu einem mehrstufigen Trojaner entwickelt hat, der über die ursprüngliche trojanisierte Anwendung zusätzliche Payloads von einem Command-and-Control-Server (C2) herunterladen kann. Der Angriff zielt hauptsächlich auf Benutzer in Palästina und Ägypten ab und nutzt gefälschte Websites als Verteilungspunkte für die kompromittierten Anwendungen.
Diese betrügerischen Anwendungen geben sich oft als sichere Messaging-Dienste wie LapizaChat, NortirChat und ReblyChat aus und imitieren legitime Plattformen wie StealthChat, Session und den Voxer Walkie Talkie Messenger. Darüber hinaus gibt sich eine weitere App als palästinensisches Zivilregister aus.
Eine dieser Websites, palcivilreg.com, registriert am 30. Mai 2023, wird über eine eigene Facebook-Seite mit 179 Followern beworben. Die auf dieser Website angebotene App ist einer ähnlich benannten App aus dem Google Play Store nachempfunden.
Obwohl die bedrohliche Anwendung auf palcivilreg.com keine direkte Kopie der Version aus dem Google Play Store ist, nutzt sie den Server der legitimen App, um Daten zu sammeln. Dies deutet darauf hin, dass Arid Viper sich von der Funktionalität der legitimen App inspirieren ließ, aber eine eigene Client-Schicht entwickelte, um mit dem echten Server zu interagieren.
Angriffskette der mobilen Malware AridSpy
Nach der Installation sucht die bösartige Anwendung anhand einer vordefinierten Liste nach Sicherheitssoftware auf dem Gerät. Wenn keine gefunden wird, lädt sie eine Payload der ersten Stufe herunter, die sich als Update für Google Play Services tarnt.
Diese Nutzlast arbeitet unabhängig und erfordert nicht die Anwesenheit der trojanisierten Anwendung auf demselben Gerät. Daher hat die Deinstallation der ursprünglichen trojanisierten Anwendung, wie z. B. LapizaChat, keine Auswirkungen auf AridSpy. Die Hauptfunktion der Nutzlast der ersten Stufe besteht darin, die Komponente der nächsten Stufe herunterzuladen, die schädliche Funktionen enthält und zu Command-and-Control-Zwecken (C2) mit einer Firebase-Domäne kommuniziert.
Die Malware ist mit verschiedenen Befehlen ausgestattet, um Daten von den infizierten Geräten zu extrahieren und kann sich selbst deaktivieren oder eine Datenexfiltration einleiten, wenn eine Verbindung zu einem mobilen Datentarif besteht. Die Datenextraktion erfolgt entweder durch bestimmte Befehle oder ausgelöste Ereignisse.
Wenn das Opfer beispielsweise das Telefon sperrt oder entsperrt, nimmt AridSpy mit der Frontkamera ein Bild auf und sendet es an den Exfiltrations-C&C-Server. Bilder werden jedoch nur aufgenommen, wenn seit der letzten Aufnahme mehr als 40 Minuten vergangen sind und der Akkustand über 15 % liegt.
