ClickCease Logiciel malveillant AridSpy : Campagne d'espionnage à l'aide d'applications trojanisées

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Logiciel malveillant AridSpy : Campagne d'espionnage à l'aide d'applications trojanisées

par Wajahat Raja

Le 27 juin 2024 - L'équipe d'experts de TuxCare

Selon des rapports récentsl'acteur de la menace connu sous le nom d'Arid Viper a été associé à une campagne d'espionnage mobile sophistiquée. Cette campagne utilise des applications Android trojanisées pour diffuser une variante de logiciel espion appelée logiciel malveillant AridSpy.

Selon un chercheur d chercheur d'ESET Lukáš Štefanko, ce logiciel malveillant malware AridSpy est distribué par l'intermédiaire de sites web dédiés qui se font passer pour diverses applications légitimes, notamment des applications de messagerie, une application d'offres d'emploi et une application de registre civil palestinien.

Ces sites web hébergent des applications existantes qui ont été compromises par l'ajout du code malveillant d'AridSpy.

Contexte historique et activité

 

La vipère aride, soupçonnée d'être affiliée au Hamas, est également appelée APT-C-23, Desert Falcon, Grey Karkadann, Mantis et Scorpion à deux queues. Ce groupe est actif depuis 2017 et est connu pour cibler le personnel militaire, les journalistes et les dissidents au Moyen-Orient.

SentinelOne a noté l'année dernière qu'Arid Viper continue de prospérer dans le domaine des logiciels malveillants mobiles. L'analyse récente d'ESET révèle qu'AridSpy est devenu un cheval de Troie à plusieurs étapes capable de télécharger des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle (C2). serveur de commande et de contrôle (C2) par l'intermédiaire de l'application initiale application trojanisée.

Campagnes récentes

 

La campagne campagne d'espionnage est en cours depuis 2022 et comprend cinq campagnes distinctes, dont trois sont encore actives. Ces campagnes ciblent principalement les utilisateurs de Palestine et d'Égypte par le biais de faux sites web conçus pour distribuer les applications compromises.

Certaines de ces fausses applications se font passer pour des services de messagerie sécurisée tels que LapizaChat, NortirChat et ReblyChat, qui sont basés sur des applications légitimes telles que StealthChat, Session et Voxer Walkie Talkie Messenger. Une autre application imite le registre civil palestinien.

Analyse détaillée du logiciel malveillant AridSpy

 

Le faux site web du registre civil palestinien ("palcivilreg[.]com"), enregistré le 30 mai 2023, fait la promotion d'une application malveillante qui n'est pas une version trojanisée de l'application disponible sur Google Play. 

Au lieu de cela, le logiciel malveillant logiciel malveillant AridSpy utilise le serveur de l'application légitime pour récupérer des informations, ce qui indique qu'Arid Viper s'est inspiré de la fonctionnalité de l'application légitime mais a développé sa propre couche client pour communiquer avec le serveur.

Cette application a été annoncée par le biais d'une page Facebook dédiée qui compte 179 adeptes. En outre, ESET a découvert qu'AridSpy est diffusé par le biais d'une fausse application d'offre d'emploi sur un site web ("almoshell[.]website") enregistré en août 2023. Cette application est remarquable parce qu'elle ne s'inspire d'aucune application légitime. 

Une fois installée, l'application malveillante vérifie la présence de logiciels de sécurité à partir d'une liste codée en dur et procède au téléchargement d'une charge utile de première étape si aucune n'est trouvée. Cette charge utile se fait passer pour une mise à jour des services Google Play et fonctionne indépendamment de l'application trojanisée initiale.

Fonctionnalité et impact

 

Le rôle principal de la charge utile de la première étape est de télécharger un composant de la deuxième étape qui contient la fonctionnalité malveillante principale. Ce composant utilise un domaine Firebase comme serveur de commande et de contrôle (C&C) de commande et de contrôle (C&C).

Le logiciel malveillant prend en charge une série de commandes pour collecter des données à partir des appareils infectés et peut se désactiver ou exfiltrer des données, selon que l'appareil dispose ou non d'un plan de données mobiles.

Protection et prévention contre les logiciels malveillants

 

En réponse à cette menace, Google a assuré aux utilisateurs que les appareils Android sont protégés contre AridSpy par Google Play Protect, une solution intégrée de défense contre les logiciels malveillants qui est activée par défaut sur tous les appareils.

Conclusion

 

Les activités en cours d'Arid Viper mettent en évidence la menace persistante que représentent les campagnes d'espionnage mobile sophistiquées. Il est conseillé aux utilisateurs de rester vigilants, d'éviter de télécharger des applications à partir de sources non officielles et de s'assurer que les fonctions de sécurité telles que Google Play Protect sont activées sur leurs appareils. 

En restant informés et prudentsles utilisateurs peuvent mieux se protéger contre ces menaces malveillantes.

 

Les sources de cet article comprennent des articles dans The Hacker News et welivesecurity.

Résumé
Logiciel malveillant AridSpy : Campagne d'espionnage à l'aide d'applications trojanisées
Nom de l'article
Logiciel malveillant AridSpy : Campagne d'espionnage à l'aide d'applications trojanisées
Description
Découvrez comment le logiciel malveillant AridSpy s'infiltre dans les appareils Android par le biais d'applications trojanisées, en ciblant les utilisateurs avec des tactiques d'espionnage sophistiquées.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !