AridSpy-Malware: Spionage-Kampagne mit trojanisierten Apps
Wie aus jüngsten Berichtenwurde der als Arid Viper bekannte Bedrohungsakteur mit einer ausgeklügelten mobilen Spionagekampagne. Diese Kampagne nutzt trojanisierte Android-Apps zur Verbreitung einer Spyware-Variante namens AridSpy-Malware.
Laut einem ESET-Forscher Lukáš Štefanko, ist diese AridSpy-Malware über spezielle Websites verbreitet, die sich als verschiedene legitime Apps ausgeben, darunter Messaging-Apps, eine App für Jobangebote und eine App für das palästinensische Standesamt.
Diese Websites hosten bestehende Anwendungen, die durch Hinzufügen des Schadcodes von AridSpy kompromittiert wurden.
Historischer Kontext und Aktivität
Arid Viper, die vermutlich mit der Hamas in Verbindung steht, wird auch als APT-C-23, Desert Falcon, Grey Karkadann, Mantis und Zweischwänziger Skorpion. Diese Gruppe ist seit 2017 aktiv und dafür bekannt, dass sie es auf Militärpersonal, Journalisten und Dissidenten im Nahen Osten abgesehen hat.
SentinelOne stellte im vergangenen Jahr fest, dass Arid Viper im Bereich der mobilen Malware weiterhin floriert. Die jüngste Analyse von ESET zeigt, dass sich AridSpy zu einem mehrstufigen Trojaner entwickelt hat, der zusätzliche Nutzdaten von einem Command-and-Control (C2)-Server über die ursprüngliche trojanisierten App.
Neueste Kampagnen
Die Spionagekampagne läuft seit 2022 und umfasst fünf verschiedene Kampagnen, von denen drei noch aktiv sind. Diese Kampagnen zielen in erster Linie auf Nutzer in Palästina und Ägypten ab, und zwar über gefälschte Websites, über die die kompromittierten Apps verbreitet werden.
Einige dieser gefälschten Apps geben sich als sichere Messaging-Dienste wie LapizaChat, NortirChat und ReblyChat aus, die auf legitimen Apps wie StealthChat, Session und Voxer Walkie Talkie Messenger basieren. Eine andere App imitiert das palästinensische Standesamt.
Detaillierte Analyse der AridSpy-Malware
Die gefälschte Website des palästinensischen Standesamts ("palcivilreg[.]com"), die am 30. Mai 2023 registriert wurde, wirbt für eine bösartige App, bei der es sich nicht um eine trojanisierte Version der bei Google Play verfügbaren App handelt.
Stattdessen wird die AridSpy-Malware den Server der legitimen App, um Informationen abzurufen, was darauf hindeutet, dass Arid Viper von der Funktionalität der legitimen App inspiriert wurde, aber eine eigene Client-Schicht zur Kommunikation mit dem Server entwickelt hat.
Diese App wurde über eine spezielle Facebook-Seite mit 179 Followern beworben. Darüber hinaus entdeckte ESET, dass AridSpy über eine gefälschte Jobangebots-App auf einer im August 2023 registrierten Website ("almoshell[.]website") verbreitet wird. Diese App zeichnet sich dadurch aus, dass sie sich in ihrem Design nicht an einer legitimen App orientiert.
Nach der Installation prüft die bösartige App das Vorhandensein von Sicherheitssoftware in einer fest programmierten Liste und lädt eine Nutzlast der ersten Stufe herunter, wenn keine gefunden wird. Diese Nutzlast gibt sich als Update für Google Play Services aus und funktioniert unabhängig von der ursprünglichen trojanisierten App.
Funktionsweise und Auswirkungen
Die Hauptaufgabe der Nutzlast der ersten Stufe besteht darin, eine Komponente der zweiten Stufe herunterzuladen, die die Kernfunktionen des Schadprogramms enthält. Diese Komponente verwendet eine Firebase-Domäne für Command-and-Control (C&C) Server Zwecke.
Die Malware unterstützt eine Reihe von Befehlen zum Sammeln von Daten von infizierten Geräten und kann sich selbst deaktivieren oder Daten exfiltrieren, je nachdem, ob das Gerät über einen mobilen Datentarif verfügt.
Schutz vor Malware und Virenschutz
Als Reaktion auf die Bedrohung hat Google den Nutzern versichert, dass Android-Geräte vor AridSpy durch Google Play Protect geschützt sind, eine integrierte Malware-Abwehrlösung, die standardmäßig auf allen Geräten aktiviert ist.
Schlussfolgerung
Die laufenden Aktivitäten von Arid Viper verdeutlichen die anhaltende Bedrohung durch ausgeklügelte mobile Spionagekampagnen. Den Nutzern wird empfohlen, wachsam zu bleiben, das Herunterladen von Apps aus inoffiziellen Quellen zu vermeiden und sicherzustellen, dass Sicherheitsfunktionen wie Google Play Protect auf ihren Geräten aktiviert sind.
. informiert und vorsichtig bleibenkönnen sich Nutzer besser vor solchen bösartigen Bedrohungen schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und welivesecurity.