ClickCease Malware AridSpy: Campaña de espionaje mediante aplicaciones troyanizadas

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Malware AridSpy: Campaña de espionaje mediante aplicaciones troyanizadas

por Wajahat Raja

27 de junio de 2024 - Equipo de expertos TuxCare

Según informes recientesel actor de amenazas conocido como Arid Viper ha sido vinculado a una sofisticada campaña de espionaje móvil. Esta campaña utiliza aplicaciones Android troyanizadas para propagar una variante de spyware llamada malware AridSpy.

Según un investigador de ESET Lukáš Štefanko, este malware AridSpy se distribuye a través de sitios web dedicados que se hacen pasar por varias aplicaciones legítimas, incluidas aplicaciones de mensajería, una aplicación de oportunidades de empleo y una aplicación del Registro Civil palestino.

Estos sitios web alojan aplicaciones existentes que han sido comprometidas añadiendo el código malicioso de AridSpy.

Contexto histórico y actividad

 

Arid Viper, sospechoso de estar afiliado a Hamás, también se conoce como APT-C-23, Desert Falcon, Grey Karkadann, Mantis y Escorpión de dos colas. Este grupo ha estado activo desde 2017 y es conocido por atacar a personal militar, periodistas y disidentes en Oriente Medio.

SentinelOne señaló el año pasado que Arid Viper sigue prosperando en el ámbito del malware para móviles. El reciente análisis de ESET revela que AridSpy ha evolucionado hasta convertirse en un troyano multietapa capaz de descargar cargas útiles adicionales desde un servidor de comando y control (C2). servidor de mando y control (C2) a través de la aplicación troyanizada.

Campañas recientes

 

La campaña de espionaje lleva en marcha desde 2022 e incluye cinco campañas distintas, tres de las cuales siguen activas. Estas campañas se dirigen principalmente a usuarios de Palestina y Egipto a través de sitios web falsos diseñados para distribuir las aplicaciones comprometidas.

Algunas de estas aplicaciones falsas se hacen pasar por servicios de mensajería segura como LapizaChat, NortirChat y ReblyChat, que se basan en aplicaciones legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger. Otra aplicación imita al Registro Civil palestino.

Análisis detallado del malware AridSpy

 

El falso sitio web del Registro Civil palestino ("palcivilreg[.]com"), registrado el 30 de mayo de 2023, promociona una aplicación maliciosa que no es una versión troyanizada de la aplicación disponible en Google Play. 

En su lugar, el malware AridSpy utiliza el servidor de la aplicación legítima para recuperar información, lo que indica que Arid Viper se inspiró en la funcionalidad de la aplicación legítima pero desarrolló su propia capa cliente para comunicarse con el servidor.

Esta app se ha publicitado a través de una página dedicada de Facebook con 179 seguidores. Además, ESET descubrió que AridSpy se está propagando a través de una app falsa de oportunidades laborales en un sitio web ("almoshell[.]website") registrado en agosto de 2023. Esta aplicación es notable porque no basa su diseño en ninguna aplicación legítima. 

Una vez instalada, la aplicación maliciosa comprueba la presencia de software de seguridad de una lista codificada y procede a descargar una carga útil de primera etapa si no encuentra ninguno. Esta carga útil se hace pasar por una actualización de Google Play Services y funciona de forma independiente de la aplicación troyanizada inicial.

Funcionalidad e impacto

 

La función principal de la carga útil de la primera etapa es descargar un componente de la segunda etapa que contiene el núcleo de la funcionalidad maliciosa. Este componente utiliza un dominio Firebase para servidor de comando y control (C&C) (C&C).

El malware admite una serie de comandos para recopilar datos de los dispositivos infectados y puede desactivarse o realizar la exfiltración de datos, dependiendo de si el dispositivo está en un plan de datos móviles.

Protección y prevención antivirus contra malware

 

En respuesta a la amenaza, Google ha asegurado a los usuarios que los dispositivos Android están protegidos de AridSpy por Google Play Protect, una solución de defensa contra malware integrada que está activada por defecto en todos los dispositivos.

Conclusión

 

Las actividades en curso de Arid Viper ponen de relieve la persistente amenaza que suponen las sofisticadas campañas de espionaje móvil. Se recomienda a los usuarios que se mantengan alerta, eviten descargar aplicaciones de fuentes no oficiales y se aseguren de que las funciones de seguridad como Google Play Protect están activadas en sus dispositivos. 

Por informados y precavidoslos usuarios pueden protegerse mejor contra estas amenazas maliciosas.

 

Las fuentes de este artículo incluyen artículos en The Hacker News y welivesecurity.

Resumen
Malware AridSpy: Campaña de espionaje mediante aplicaciones troyanizadas
Nombre del artículo
Malware AridSpy: Campaña de espionaje mediante aplicaciones troyanizadas
Descripción
Descubre cómo el malware AridSpy se infiltra en dispositivos Android a través de aplicaciones troyanizadas, dirigiéndose a los usuarios con sofisticadas tácticas de espionaje.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

¡Ayúdenos a comprender
el panorama de Linux!

Complete nuestra encuesta sobre el estado del código abierto y podrá ganar uno de varios premios, ¡el máximo valorado en 500 dólares!

Su experiencia es necesaria para dar forma al futuro de Enterprise Linux.