Logiciel malveillant AridSpy : Campagne d'espionnage à l'aide d'applications trojanisées
Selon des rapports récentsl'acteur de la menace connu sous le nom d'Arid Viper a été associé à une campagne d'espionnage mobile sophistiquée. Cette campagne utilise des applications Android trojanisées pour diffuser une variante de logiciel espion appelée logiciel malveillant AridSpy.
Selon un chercheur d chercheur d'ESET Lukáš Štefanko, ce logiciel malveillant malware AridSpy est distribué par l'intermédiaire de sites web dédiés qui se font passer pour diverses applications légitimes, notamment des applications de messagerie, une application d'offres d'emploi et une application de registre civil palestinien.
Ces sites web hébergent des applications existantes qui ont été compromises par l'ajout du code malveillant d'AridSpy.
Contexte historique et activité
La vipère aride, soupçonnée d'être affiliée au Hamas, est également appelée APT-C-23, Desert Falcon, Grey Karkadann, Mantis et Scorpion à deux queues. Ce groupe est actif depuis 2017 et est connu pour cibler le personnel militaire, les journalistes et les dissidents au Moyen-Orient.
SentinelOne a noté l'année dernière qu'Arid Viper continue de prospérer dans le domaine des logiciels malveillants mobiles. L'analyse récente d'ESET révèle qu'AridSpy est devenu un cheval de Troie à plusieurs étapes capable de télécharger des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle (C2). serveur de commande et de contrôle (C2) par l'intermédiaire de l'application initiale application trojanisée.
Campagnes récentes
La campagne campagne d'espionnage est en cours depuis 2022 et comprend cinq campagnes distinctes, dont trois sont encore actives. Ces campagnes ciblent principalement les utilisateurs de Palestine et d'Égypte par le biais de faux sites web conçus pour distribuer les applications compromises.
Certaines de ces fausses applications se font passer pour des services de messagerie sécurisée tels que LapizaChat, NortirChat et ReblyChat, qui sont basés sur des applications légitimes telles que StealthChat, Session et Voxer Walkie Talkie Messenger. Une autre application imite le registre civil palestinien.
Analyse détaillée du logiciel malveillant AridSpy
Le faux site web du registre civil palestinien ("palcivilreg[.]com"), enregistré le 30 mai 2023, fait la promotion d'une application malveillante qui n'est pas une version trojanisée de l'application disponible sur Google Play.
Au lieu de cela, le logiciel malveillant logiciel malveillant AridSpy utilise le serveur de l'application légitime pour récupérer des informations, ce qui indique qu'Arid Viper s'est inspiré de la fonctionnalité de l'application légitime mais a développé sa propre couche client pour communiquer avec le serveur.
Cette application a été annoncée par le biais d'une page Facebook dédiée qui compte 179 adeptes. En outre, ESET a découvert qu'AridSpy est diffusé par le biais d'une fausse application d'offre d'emploi sur un site web ("almoshell[.]website") enregistré en août 2023. Cette application est remarquable parce qu'elle ne s'inspire d'aucune application légitime.
Une fois installée, l'application malveillante vérifie la présence de logiciels de sécurité à partir d'une liste codée en dur et procède au téléchargement d'une charge utile de première étape si aucune n'est trouvée. Cette charge utile se fait passer pour une mise à jour des services Google Play et fonctionne indépendamment de l'application trojanisée initiale.
Fonctionnalité et impact
Le rôle principal de la charge utile de la première étape est de télécharger un composant de la deuxième étape qui contient la fonctionnalité malveillante principale. Ce composant utilise un domaine Firebase comme serveur de commande et de contrôle (C&C) de commande et de contrôle (C&C).
Le logiciel malveillant prend en charge une série de commandes pour collecter des données à partir des appareils infectés et peut se désactiver ou exfiltrer des données, selon que l'appareil dispose ou non d'un plan de données mobiles.
Protection et prévention contre les logiciels malveillants
En réponse à cette menace, Google a assuré aux utilisateurs que les appareils Android sont protégés contre AridSpy par Google Play Protect, une solution intégrée de défense contre les logiciels malveillants qui est activée par défaut sur tous les appareils.
Conclusion
Les activités en cours d'Arid Viper mettent en évidence la menace persistante que représentent les campagnes d'espionnage mobile sophistiquées. Il est conseillé aux utilisateurs de rester vigilants, d'éviter de télécharger des applications à partir de sources non officielles et de s'assurer que les fonctions de sécurité telles que Google Play Protect sont activées sur leurs appareils.
En restant informés et prudentsles utilisateurs peuvent mieux se protéger contre ces menaces malveillantes.
Les sources de cet article comprennent des articles dans The Hacker News et welivesecurity.