ClickCease AridSpy-Malware: Spionage-Kampagne mit trojanisierten Apps

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

AridSpy-Malware: Spionage-Kampagne mit trojanisierten Apps

von Wajahat Raja

27. Juni 2024. TuxCare-Expertenteam

Wie aus jüngsten Berichtenwurde der als Arid Viper bekannte Bedrohungsakteur mit einer ausgeklügelten mobilen Spionagekampagne. Diese Kampagne nutzt trojanisierte Android-Apps zur Verbreitung einer Spyware-Variante namens AridSpy-Malware.

Laut einem ESET-Forscher Lukáš Štefanko, ist diese AridSpy-Malware über spezielle Websites verbreitet, die sich als verschiedene legitime Apps ausgeben, darunter Messaging-Apps, eine App für Jobangebote und eine App für das palästinensische Standesamt.

Diese Websites hosten bestehende Anwendungen, die durch Hinzufügen des Schadcodes von AridSpy kompromittiert wurden.

Historischer Kontext und Aktivität

 

Arid Viper, die vermutlich mit der Hamas in Verbindung steht, wird auch als APT-C-23, Desert Falcon, Grey Karkadann, Mantis und Zweischwänziger Skorpion. Diese Gruppe ist seit 2017 aktiv und dafür bekannt, dass sie es auf Militärpersonal, Journalisten und Dissidenten im Nahen Osten abgesehen hat.

SentinelOne stellte im vergangenen Jahr fest, dass Arid Viper im Bereich der mobilen Malware weiterhin floriert. Die jüngste Analyse von ESET zeigt, dass sich AridSpy zu einem mehrstufigen Trojaner entwickelt hat, der zusätzliche Nutzdaten von einem Command-and-Control (C2)-Server über die ursprüngliche trojanisierten App.

Neueste Kampagnen

 

Die Spionagekampagne läuft seit 2022 und umfasst fünf verschiedene Kampagnen, von denen drei noch aktiv sind. Diese Kampagnen zielen in erster Linie auf Nutzer in Palästina und Ägypten ab, und zwar über gefälschte Websites, über die die kompromittierten Apps verbreitet werden.

Einige dieser gefälschten Apps geben sich als sichere Messaging-Dienste wie LapizaChat, NortirChat und ReblyChat aus, die auf legitimen Apps wie StealthChat, Session und Voxer Walkie Talkie Messenger basieren. Eine andere App imitiert das palästinensische Standesamt.

Detaillierte Analyse der AridSpy-Malware

 

Die gefälschte Website des palästinensischen Standesamts ("palcivilreg[.]com"), die am 30. Mai 2023 registriert wurde, wirbt für eine bösartige App, bei der es sich nicht um eine trojanisierte Version der bei Google Play verfügbaren App handelt. 

Stattdessen wird die AridSpy-Malware den Server der legitimen App, um Informationen abzurufen, was darauf hindeutet, dass Arid Viper von der Funktionalität der legitimen App inspiriert wurde, aber eine eigene Client-Schicht zur Kommunikation mit dem Server entwickelt hat.

Diese App wurde über eine spezielle Facebook-Seite mit 179 Followern beworben. Darüber hinaus entdeckte ESET, dass AridSpy über eine gefälschte Jobangebots-App auf einer im August 2023 registrierten Website ("almoshell[.]website") verbreitet wird. Diese App zeichnet sich dadurch aus, dass sie sich in ihrem Design nicht an einer legitimen App orientiert. 

Nach der Installation prüft die bösartige App das Vorhandensein von Sicherheitssoftware in einer fest programmierten Liste und lädt eine Nutzlast der ersten Stufe herunter, wenn keine gefunden wird. Diese Nutzlast gibt sich als Update für Google Play Services aus und funktioniert unabhängig von der ursprünglichen trojanisierten App.

Funktionsweise und Auswirkungen

 

Die Hauptaufgabe der Nutzlast der ersten Stufe besteht darin, eine Komponente der zweiten Stufe herunterzuladen, die die Kernfunktionen des Schadprogramms enthält. Diese Komponente verwendet eine Firebase-Domäne für Command-and-Control (C&C) Server Zwecke.

Die Malware unterstützt eine Reihe von Befehlen zum Sammeln von Daten von infizierten Geräten und kann sich selbst deaktivieren oder Daten exfiltrieren, je nachdem, ob das Gerät über einen mobilen Datentarif verfügt.

Schutz vor Malware und Virenschutz

 

Als Reaktion auf die Bedrohung hat Google den Nutzern versichert, dass Android-Geräte vor AridSpy durch Google Play Protect geschützt sind, eine integrierte Malware-Abwehrlösung, die standardmäßig auf allen Geräten aktiviert ist.

Schlussfolgerung

 

Die laufenden Aktivitäten von Arid Viper verdeutlichen die anhaltende Bedrohung durch ausgeklügelte mobile Spionagekampagnen. Den Nutzern wird empfohlen, wachsam zu bleiben, das Herunterladen von Apps aus inoffiziellen Quellen zu vermeiden und sicherzustellen, dass Sicherheitsfunktionen wie Google Play Protect auf ihren Geräten aktiviert sind. 

. informiert und vorsichtig bleibenkönnen sich Nutzer besser vor solchen bösartigen Bedrohungen schützen.

 

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und welivesecurity.

Zusammenfassung
AridSpy-Malware: Spionage-Kampagne mit trojanisierten Apps
Artikel Name
AridSpy-Malware: Spionage-Kampagne mit trojanisierten Apps
Beschreibung
Entdecken Sie, wie die AridSpy-Malware über trojanisierte Apps in Android-Geräte eindringt und Benutzer mit ausgeklügelten Spionagetaktiken ins Visier nimmt.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!