Malware AridSpy: Campaña de espionaje mediante aplicaciones troyanizadas
Según informes recientesel actor de amenazas conocido como Arid Viper ha sido vinculado a una sofisticada campaña de espionaje móvil. Esta campaña utiliza aplicaciones Android troyanizadas para propagar una variante de spyware llamada malware AridSpy.
Según un investigador de ESET Lukáš Štefanko, este malware AridSpy se distribuye a través de sitios web dedicados que se hacen pasar por varias aplicaciones legítimas, incluidas aplicaciones de mensajería, una aplicación de oportunidades de empleo y una aplicación del Registro Civil palestino.
Estos sitios web alojan aplicaciones existentes que han sido comprometidas añadiendo el código malicioso de AridSpy.
Contexto histórico y actividad
Arid Viper, sospechoso de estar afiliado a Hamás, también se conoce como APT-C-23, Desert Falcon, Grey Karkadann, Mantis y Escorpión de dos colas. Este grupo ha estado activo desde 2017 y es conocido por atacar a personal militar, periodistas y disidentes en Oriente Medio.
SentinelOne señaló el año pasado que Arid Viper sigue prosperando en el ámbito del malware para móviles. El reciente análisis de ESET revela que AridSpy ha evolucionado hasta convertirse en un troyano multietapa capaz de descargar cargas útiles adicionales desde un servidor de comando y control (C2). servidor de mando y control (C2) a través de la aplicación troyanizada.
Campañas recientes
La campaña de espionaje lleva en marcha desde 2022 e incluye cinco campañas distintas, tres de las cuales siguen activas. Estas campañas se dirigen principalmente a usuarios de Palestina y Egipto a través de sitios web falsos diseñados para distribuir las aplicaciones comprometidas.
Algunas de estas aplicaciones falsas se hacen pasar por servicios de mensajería segura como LapizaChat, NortirChat y ReblyChat, que se basan en aplicaciones legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger. Otra aplicación imita al Registro Civil palestino.
Análisis detallado del malware AridSpy
El falso sitio web del Registro Civil palestino ("palcivilreg[.]com"), registrado el 30 de mayo de 2023, promociona una aplicación maliciosa que no es una versión troyanizada de la aplicación disponible en Google Play.
En su lugar, el malware AridSpy utiliza el servidor de la aplicación legítima para recuperar información, lo que indica que Arid Viper se inspiró en la funcionalidad de la aplicación legítima pero desarrolló su propia capa cliente para comunicarse con el servidor.
Esta app se ha publicitado a través de una página dedicada de Facebook con 179 seguidores. Además, ESET descubrió que AridSpy se está propagando a través de una app falsa de oportunidades laborales en un sitio web ("almoshell[.]website") registrado en agosto de 2023. Esta aplicación es notable porque no basa su diseño en ninguna aplicación legítima.
Una vez instalada, la aplicación maliciosa comprueba la presencia de software de seguridad de una lista codificada y procede a descargar una carga útil de primera etapa si no encuentra ninguno. Esta carga útil se hace pasar por una actualización de Google Play Services y funciona de forma independiente de la aplicación troyanizada inicial.
Funcionalidad e impacto
La función principal de la carga útil de la primera etapa es descargar un componente de la segunda etapa que contiene el núcleo de la funcionalidad maliciosa. Este componente utiliza un dominio Firebase para servidor de comando y control (C&C) (C&C).
El malware admite una serie de comandos para recopilar datos de los dispositivos infectados y puede desactivarse o realizar la exfiltración de datos, dependiendo de si el dispositivo está en un plan de datos móviles.
Protección y prevención antivirus contra malware
En respuesta a la amenaza, Google ha asegurado a los usuarios que los dispositivos Android están protegidos de AridSpy por Google Play Protect, una solución de defensa contra malware integrada que está activada por defecto en todos los dispositivos.
Conclusión
Las actividades en curso de Arid Viper ponen de relieve la persistente amenaza que suponen las sofisticadas campañas de espionaje móvil. Se recomienda a los usuarios que se mantengan alerta, eviten descargar aplicaciones de fuentes no oficiales y se aseguren de que las funciones de seguridad como Google Play Protect están activadas en sus dispositivos.
Por informados y precavidoslos usuarios pueden protegerse mejor contra estas amenazas maliciosas.
Las fuentes de este artículo incluyen artículos en The Hacker News y welivesecurity.