O agente de ameaças conhecido como Arid Viper foi responsabilizado por uma campanha de espionagem móvel que utiliza aplicativos Android trojanizados para entregar uma cepa de spyware chamada AridSpy.
"O malware é distribuído através de websites dedicados, que se passam por diversos aplicativos de mensagens, um aplicativo de oportunidades de emprego e um aplicativo do Registro Civil Palestino", disse o pesquisador da ESET, Lukáš Štefanko, em um relatório publicado hoje.
Muitas vezes, são aplicativos existentes que foram trojanizados pela adição do código malicioso do AridSpy.
Diz-se que a atividade abrangeu até cinco campanhas desde 2022, com variantes anteriores do AridSpy documentadas pela Zimperium e 360 Beacon Labs.
Três dessas cinco campanhas ainda estão ativas.
Arid Viper, um agente supostamente afiliado ao Hamas que também é chamado de APT-C-23, Desert Falcon, Grey Karkadann, Mantis e Two-tailed Scorpion, tem um longo histórico de uso de malware móvel desde sua emergência em 2017.
"Arid Viper historicamente focou em pessoal militar no Oriente Médio, assim como jornalistas e dissidentes", observou a SentinelOne no final do ano passado, acrescentando que o grupo "continua a prosperar no espaço de malware móvel."
A análise da ESET da última versão do AridSpy mostra que ela foi transformada em um trojan multi-estágio que pode baixar payloads adicionais de um servidor command-and-control (C2) pelo aplicativo inicialmente trojanizado.
As cadeias de ataque envolvem principalmente o direcionamento de usuários na Palestina e no Egito através de sites falsos que funcionam como pontos de distribuição para os aplicativos armadilhados.
Alguns dos aplicativos falsos, mas funcionais, afirmam ser serviços de mensagens seguras como LapizaChat, NortirChat e ReblyChat, cada um deles baseado em aplicativos legítimos como StealthChat, Session e Voxer Walkie Talkie Messenger, enquanto outro aplicativo afirma ser do Registro Civil Palestino.
O site para o Registro Civil Palestino ("palcivilreg[.]com"), que foi registrado em 30 de maio de 2023, também foi encontrado sendo divulgado por uma página do Facebook dedicada que tem 179 seguidores.
O aplicativo propagado pelo site é inspirado em um aplicativo de mesmo nome disponível na Google Play Store.
"O aplicativo malicioso disponível em palcivilreg[.]com não é uma versão trojanizada do aplicativo na Google Play; no entanto, ele usa o servidor legítimo daquele aplicativo para recuperar informações", disse Štefanko.
Isso significa que Arid Viper se inspirou na funcionalidade daquele aplicativo, mas criou sua própria camada de cliente que se comunica com o servidor legítimo.
A ESET disse ter descoberto ainda que o AridSpy está sendo disseminado sob o disfarce de um aplicativo de oportunidade de emprego de um site ("almoshell[.]website") registrado em agosto de 2023.
Um aspecto notável do aplicativo é que ele não se baseia em nenhum aplicativo legítimo.
Após a instalação, o aplicativo malicioso verifica a presença de software de segurança contra uma lista fixa e prossegue para baixar um primeiro payload útil apenas se nenhum deles estiver instalado no dispositivo.
O payload se disfarça de uma atualização para os Serviços do Google Play.
"Esse payload funciona separadamente, sem a necessidade de ter o aplicativo trojanizado instalado no mesmo dispositivo", explicou Štefanko.
Isso significa que, se a vítima desinstalar o aplicativo trojanizado inicial, por exemplo, LapizaChat, o AridSpy não será de forma alguma afetado.
A principal responsabilidade da primeira etapa é baixar o componente da próxima fase, que abriga a funcionalidade maliciosa e faz uso de um domínio Firebase para fins de C2.
O malware suporta uma ampla gama de comandos para coletar dados dos dispositivos e pode até se desativar ou realizar exfiltração quando em um plano de dados móveis.
A exfiltração de dados é iniciada ou por meio de um comando ou quando um evento específico é acionado.
"Se a vítima bloquear ou desbloquear o telefone, o AridSpy tirará uma foto usando a câmera frontal e a enviará para o servidor de exfiltração C&C", disse Štefanko.
Fotos são tiradas apenas se passarem mais de 40 minutos desde a última foto tirada e o nível da bateria estiver acima de 15%.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...