Softvér sa šíri cez škodlivé aplikácie.

Výskumníci objavili viacstupňový škodlivý softvér pre Android, ktorý nazvali AridSpy, distribuovaný prostredníctvom piatich webstránok. Malvér AridSpy v Palestíne aj Egypte a so strednou mierou istoty ho pripisuje APT skupine Arid Viper. Kód AridSpy je v niektorých prípadoch pribalený k aplikáciám, ktoré poskytujú legitímne služby.

AridSpy je diaľkovo ovládaný trójsky kôň, ktorý sa zameriava na špionáž používateľov. Okrem iných funkcií dokáže špehovať aplikácie na zasielanie správ a vynášať obsah zo zariadenia. Výskumníci identifikovali päť kampaní, ktoré využívajú škodlivé aplikácie na útoky na používateľov operačného systému Android. Tieto kampane, ktoré má s najväčšou pravdepodobnosťou na svedomí APT skupina Arid Viper, sa začali v roku 2022 a tri z nich v čase publikovania správy stále prebiehajú.

Útočníci v rámci kampaní nasadzujú viacstupňový špehovací softvér pre Android, ktorý ESET nazval AridSpy. Spyvér sťahuje prvostupňovú a druhostupňovú škodlivú nálož zo svojho riadiaceho servera (C&C), aby sa vyhýbal detekcii. Šíri sa prostredníctvom špeciálne vytvorených webstránok vydávajúcich sa za rôzne aplikácie na zasielanie správ, aplikáciu zameranú na pracovné príležitosti aj aplikáciu palestínskeho občianskeho registra.

Často ide o existujúce aplikácie, ktoré boli skompromitované pridaním škodlivého kódu AridSpy. Výskumníci zaznamenal diaľkovo ovládaného trójskeho koňa AridSpy, ktorý sa zameriava na špionáž používateľských údajov v Palestíne a Egypte. Arid Viper, známa aj ako APT-C-23, Desert Falcons alebo Two-tailed Scorpion, je kybernetická špionážna skupina, ktorá je známa tým, že sa zameriava na krajiny Blízkeho východu.

Skupina v priebehu rokov upútala pozornosť svojím rozsiahlym arzenálom malvéru pre platformy Android, iOS a Windows. Tri postihnuté aplikácie poskytované prostredníctvom falošných webstránok sú legitímne aplikácie skompromitované spyvérom AridSpy. Tieto škodlivé aplikácie nikdy neboli ponúkané prostredníctvom služby Google Play a sťahujú sa výlučne z webstránok tretích strán.

Pred inštaláciou týchto aplikácií je potenciálna obeť požiadaná, aby povolila nepredvolenú možnosť systému Android inštalovať aplikácie z neznámych zdrojov. Väčšina prípadov spyvéru zaregistrovaných v Palestíne sa týkala škodlivej aplikácie palestínskeho občianskeho registra. S cieľom získať počiatočný prístup k zariadeniu sa útočníci snažia presvedčiť svoju potenciálnu obeť, aby si nainštalovala falošnú, ale funkčnú aplikáciu.

Keď obeť klikne na tlačidlo na stiahnutie stránky, spustí sa súbor myScript.js, ktorý je umiestnený na tom istom serveri a vygeneruje cestu na stiahnutie škodlivého súboru. Jedna z kampaní zahŕňala LapizaChat, škodlivú aplikáciu na zasielanie správ pre Android so skompromitovanými verziami aplikácie StealthChat: Private Messaging v balíku so škodlivým kódom AridSpy.

Ďalej boli identifikované ďalšie dve kampane, ktoré využívali na šírenie škodlivého kódu skompromitované aplikácie vydávajúce sa za služby na zasielanie správ s názvami NortirChat a ReblyChat. NortirChat je založená na legitímnej aplikácii na posielanie správ Session, zatiaľ čo ReblyChat je založená na legitímnom Voxer Walkie Talkie Messengeri.

Aplikácia palestínskeho občianskeho registra je zas inšpirovaná aplikáciou, ktorá bola predtým k dispozícii v službe Google Play. Na základe analýzy výskumníkov však škodlivá aplikácia dostupná online nie je skompromitovanou verziou aplikácie v službe Google Play. Namiesto toho ale využíva na získavanie informácií legitímny server tejto aplikácie.

To znamená, že útočníci sa inšpirovali funkčnosťou tejto aplikácie, ale vytvorili si vlastnú klientsku vrstvu, ktorá komunikuje s legitímnym serverom. S najväčšou pravdepodobnosťou hackeri reverzne upravili legitímnu aplikáciu pre Android zo služby Google Play a použili jej server na získanie údajov obetí. Posledná kampaň, ktorú výskumníci identifikoval, distribuuje AridSpy ako aplikáciu ponúkajúcu prácu.

Spyvér AridSpy disponuje funkciou, ktorej cieľom je vyhnúť sa detekcii siete – konkrétne komunikácii s riadiacim serverom (C&C). Na základe kódu AridSpy má schopnosť deaktivovať sa. Exfiltrácia údajov sa iniciuje buď prijatím príkazu z riadiaceho servera Firebase C&C, alebo po spustení špecificky definovanej udalosti.

Medzi tieto udalosti patrí zmena internetového pripojenia, inštalácia alebo odinštalovanie aplikácie, uskutočnenie alebo prijatie telefónneho hovoru, odoslanie alebo prijatie správy SMS, pripojenie alebo odpojenie nabíjačky alebo reštart zariadenia. Ak nastane niektorá z týchto udalostí, AridSpy začne zhromažďovať rôzne údaje obete a odosiela ich na exfiltračný riadiaci server (C&C).

Okrem iného dokáže zhromažďovať polohu zariadenia, zoznamy kontaktov, protokoly hovorov, textové správy, náhľady fotografií, náhľady nahraných videí, nahrané telefónne hovory, nahrané okolité zvuky.

Ďalej fotografie zachytené malvérom, databázy aplikácie WhatsApp obsahujúce vymenené správy a kontakty používateľov, záložky a históriu vyhľadávania z predvoleného prehliadača a aplikácií Chrome a Mozilla Firefox, ak sú nainštalované, súbory z externého úložiska, komunikáciu cez Facebook Messenger a WhatsApp a všetky prijaté oznámenia.