AridSpy 멀웨어: 트로이 목마 앱을 사용한 스파이 캠페인
최근 최근 보고서에 따르면, 아리드 바이퍼로 알려진 위협 행위자는 정교한 모바일 스파이 캠페인. 이 캠페인은 트로이 목마 안드로이드 앱 을 사용하여 스파이웨어 변종인 AridSpy 악성 코드.
에 따르면 ESET 연구원 루카스 슈테판코에 따르면, 이 AridSpy 멀웨어 는 메시징 앱, 구직 앱, 팔레스타인 시민 등록 앱 등 다양한 합법적인 앱을 사칭하는 전용 웹 사이트를 통해 배포됩니다.
이러한 웹사이트는 AridSpy의 악성 코드를 추가하여 손상된 기존 애플리케이션을 호스팅합니다.
역사적 맥락 및 활동
하마스와 연계된 것으로 의심되는 아리드 바이퍼는 APT-C-23, 데저트 팔콘, 그레이 카르카단, 맨티스, 사마귀 등으로도 불립니다. 두 꼬리 전갈. 이 그룹은 2017년부터 활동했으며 중동의 군인, 언론인, 반체제 인사들을 표적으로 삼는 것으로 알려져 있습니다.
센티넬원은 작년에 모바일 멀웨어 영역에서 아레드 바이퍼가 계속 번성하고 있다고 언급했습니다. ESET의 최근 분석에 따르면 AridSpy는 다단계 트로이 목마로 진화하여 명령 및 제어(C2) 서버에서 추가 페이로드를 다운로드할 수 있는 명령 및 제어(C2) 서버 초기 트로이 목마화된 앱.
최근 캠페인
스파이 캠페인 스파이 캠페인 은 2022년부터 진행되어 왔으며, 5개의 별개의 캠페인이 있으며 이 중 3개는 여전히 진행 중입니다. 이러한 캠페인은 주로 팔레스타인과 이집트의 사용자를 대상으로 하며, 감염된 앱을 배포하도록 설계된 가짜 웹사이트를 통해 이루어집니다.
이러한 가짜 앱 중 일부는 스텔스챗, 세션, 복서 워키토키 메신저와 같은 합법적인 앱을 기반으로 하는 라피자챗, 노티르챗, 리블리챗과 같은 보안 메시징 서비스를 가장하고 있습니다. 또 다른 앱은 팔레스타인 민사 등록부를 모방한 앱입니다.
AridSpy 멀웨어에 대한 자세한 분석
2023년 5월 30일에 등록된 가짜 팔레스타인 시민등록부 웹사이트("palcivilreg[.]com")는 구글 플레이에서 트로이 목마가 아닌 악성 앱을 홍보하고 있습니다.
대신 AridSpy 멀웨어 는 합법적인 앱의 서버를 사용하여 정보를 검색하는데, 이는 Arid Viper가 합법적인 앱의 기능에서 영감을 얻었지만 서버와 통신하기 위해 자체 클라이언트 계층을 개발했음을 나타냅니다.
이 앱은 179명의 팔로워를 보유한 전용 페이스북 페이지를 통해 광고되고 있습니다. 또한 ESET은 2023년 8월에 등록된 웹사이트("almoshell[.] 웹사이트")에서 가짜 구인구직 앱을 통해 AridSpy가 유포되고 있는 것을 발견했습니다. 이 앱은 합법적인 앱을 기반으로 설계되지 않았다는 점에서 주목할 만합니다.
일단 설치되면 악성 앱은 하드 코딩된 목록에서 보안 소프트웨어가 있는지 확인하고, 보안 소프트웨어가 없는 경우 1단계 페이로드를 다운로드합니다. 이 페이로드는 Google Play 서비스 업데이트를 가장하며 트로이 목마에 감염된 초기 앱과는 독립적으로 작동합니다.
기능 및 영향
1단계 페이로드의 주요 역할은 핵심 악성 기능이 포함된 2단계 구성 요소를 다운로드하는 것입니다. 이 구성 요소는 파이어베이스 도메인을 사용하여 명령 및 제어(C&C) 서버 목적으로 사용됩니다.
이 멀웨어는 감염된 디바이스에서 데이터를 수집하는 다양한 명령을 지원하며, 디바이스의 모바일 데이터 요금제 사용 여부에 따라 스스로를 비활성화하거나 데이터 유출을 수행할 수 있습니다.
멀웨어 안티바이러스 보호 및 예방
이러한 위협에 대응하여 Google은 모든 기기에서 기본적으로 사용하도록 설정된 악성코드 방어 솔루션인 Google Play 프로텍트를 통해 Android 기기를 AridSpy로부터 보호할 수 있도록 했습니다.
결론
아리드 바이퍼의 지속적인 활동은 정교한 모바일 스파이 캠페인의 지속적인 위협을 강조합니다. 사용자는 경계를 늦추지 말고 비공식 출처에서 앱을 다운로드하지 말고 기기에서 Google Play 프로텍트와 같은 보안 기능이 활성화되어 있는지 확인하는 것이 좋습니다.
으로 정보를 얻고 주의를 기울임으로써를 통해 사용자는 이러한 악의적인 위협으로부터 자신을 더 잘 보호할 수 있습니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 웰리브시큐리티.