Οι hackers Arid Viper έχουν συνδεθεί με μια εκστρατεία κατασκοπείας που αξιοποιεί κακόβουλες εφαρμογές Android για να διανείμει ένα είδος spyware που ονομάζεται AridSpy.

Το κακόβουλο λογισμικό διανέμεται μέσω αποκλειστικών ιστότοπων που υποδύονται διάφορες εφαρμογές ανταλλαγής μηνυμάτων, μια εφαρμογή για έρευση εργασίας και ένα Palestinian Civil Registry app“, δήλωσε ο ερευνητής της ESET Lukáš Štefanko. “Συχνά πρόκειται για υπάρχουσες εφαρμογές που έχουν μολυνθεί και έχουν αποκτήσει τον κακόβουλο κώδικα του AridSpy“.

Λέγεται ότι έχουν πραγματοποιηθεί τουλάχιστον πέντε καμπάνιες από το 2022, με προηγούμενες παραλλαγές του AridSpy να αναλύονται από τις Zimperium και 360 Beacon Labs. Τρεις από τις πέντε καμπάνιες εξακολουθούν να είναι ενεργές.

Οι hackers Arid Viper, γνωστοί και ως APT-C-23, Desert Falcon, Gray Karkadann, Mantis και Two-tailed Scorpion, πιστεύεται ότι συνδέονται με τη Χαμάς και έχουν πραγματοποιήσει διάφορες επιθέσεις με mobile malware, από το 2017.

Η ομάδα Arid Viper έχει στοχεύσει στρατιωτικό προσωπικό στη Μέση Ανατολή, καθώς και δημοσιογράφους και αντιφρονούντες“, σημείωσε η SentinelOne στα τέλη του περασμένου έτους.

Η πιο πρόσφατη ανάλυση της ESET για τη νέα έκδοση του AridSpy spyware δείχνει ότι έχει μετατραπεί σε ένα trojan πολλαπλών σταδίων που μπορεί να κατεβάσει πρόσθετα payloads από έναν command-and-control (C2).

Στο στόχαστρο βρίσκονται, κυρίως, χρήστες στην Παλαιστίνη και την Αίγυπτο μέσω ψεύτικων sites που λειτουργούν ως σημεία διανομής για τις κακόβουλες εφαρμογές. Οι κακόβουλες εφαρμογές είναι λειτουργικές για να μην κινούν τις υποψίες και ισχυρίζονται ότι είναι ασφαλείς υπηρεσίες ανταλλαγής μηνυμάτων όπως το LapizaChat, το NortirChat και το ReblyChat. Καθεμία βασίζεται σε νόμιμες εφαρμογές όπως το StealthChat, το Session και το Voxer Walkie Talkie Messenger, ενώ μια άλλη εφαρμογή φέρεται να είναι από το Palestinian Civil Registry.

Ο ιστότοπος του Palestinian Civil Registry (“palcivilreg[.]com”), ο οποίος καταχωρήθηκε στις 30 Μαΐου 2023, βρέθηκε επίσης να διαφημίζεται μέσω μιας ειδικής σελίδας στο Facebook που έχει 179 ακόλουθους. Η εφαρμογή που διαδίδεται μέσω του ιστότοπου είναι εμπνευσμένη από μια εφαρμογή με το ίδιο όνομα που είναι διαθέσιμη στο Google Play Store.

Η κακόβουλη εφαρμογή που είναι διαθέσιμη στο palcivilreg[.]com δεν είναι μια trojanized έκδοση της εφαρμογής στο Google Play. Ωστόσο, χρησιμοποιεί τον νόμιμο διακομιστή αυτής της εφαρμογής για την ανάκτηση πληροφοριών“, είπε ο Štefanko. “Αυτό σημαίνει ότι οι Arid Viper hackers εμπνεύστηκαν από τη λειτουργικότητα αυτής της εφαρμογής, αλλά δημιούργησαντο δικό τους client layer που επικοινωνεί με τον νόμιμο διακομιστή“.

Μια άλλη εφαρμογή με την οποία διαδίδεται το AridSpy spware είναι μια εφαρμογή ευκαιριών εργασίας από έναν ιστότοπο (“almoshell[.]ιστότοπος”) που καταχωρήθηκε τον Αύγουστο του 2023. Αυτή δεν βασίζεται σε καμία νόμιμη εφαρμογή.

Κατά την εγκατάσταση, η κακόβουλη εφαρμογή ελέγχει για την παρουσία λογισμικού ασφαλείας

και, αν δεν υπάρχει, προχωρά στη λήψη ενός payload πρώτου σταδίου. Το payload υποδύεται μια ενημέρωση για το Google Play Services.

Αυτό το payload λειτουργεί ξεχωριστά, χωρίς να χρειάζεται να είναι εγκατεστημένη η trojanized εφαρμογή στην ίδια συσκευή“, εξήγησε ο Štefanko. “Αυτό σημαίνει ότι εάν το θύμα απεγκαταστήσει την αρχική trojanized εφαρμογή, για παράδειγμα το LapizaChat, το AridSpy spyware δεν θα επηρεαστεί”.

Η κύρια ευθύνη του πρώτου σταδίου είναι η λήψη του στοιχείου επόμενου σταδίου, το οποίο φιλοξενεί την κακόβουλη λειτουργία και κάνει χρήση ενός Firebase domain για σκοπούς C2.

Το λογισμικό υποστηρίζει ένα ευρύ φάσμα εντολών για τη συλλογή δεδομένων. Η εξαγωγή δεδομένων ξεκινά είτε μέσω εντολής είτε όταν ενεργοποιείται ένα ειδικά καθορισμένο συμβάν.

Εάν το θύμα κλειδώσει ή ξεκλειδώσει το τηλέφωνο, το AridSpy spyware θα τραβήξει μια φωτογραφία χρησιμοποιώντας την μπροστινή κάμερα και θα τη στείλει στον διακομιστή C&C“, είπε ο Štefanko. “Οι φωτογραφίες λαμβάνονται μόνο εάν έχουν περάσει περισσότερα από 40 λεπτά από την τελευταία λήψη και το επίπεδο της μπαταρίας είναι πάνω από 15%“.

Πώς μπορεί κάποιος να προστατεύσει την ψηφιακή του ζωή από το spyware;

Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Τα προγράμματα αυτά σαρώνουν τη συσκευή σας για την εύρεση και την αφαίρεση του spyware (π.χ. AridSpy). Επιπλέον, προσφέρουν προστασία σε πραγματικό χρόνο, προειδοποιώντας σας όταν μια εφαρμογή προσπαθεί να εγκαταστήσει spyware στον υπολογιστή σας.

Είναι επίσης σημαντικό να διατηρείτε το λειτουργικό σας σύστημα και όλα τα προγράμματα ενημερωμένα. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να βοηθήσουν στην προστασία του υπολογιστή σας από το spyware.

Μια άλλη σημαντική συμβουλή είναι να είστε προσεκτικοί με τα email και τα μηνύματα που λαμβάνετε. Αυτά τα λογισμικά συχνά διαδίδονται μέσω επιθέσεων phishing, όπου οι επιτιθέμενοι προσπαθούν να σας πείσουν να κάνετε κλικ σε ένα κακόβουλο σύνδεσμο ή να ανοίξετε ένα επικίνδυνο συνημμένο.

Τέλος, είναι σημαντικό να έχετε συνεχώς αντίγραφα ασφαλείας των σημαντικών σας αρχείων. Αν και αυτό δεν θα σας προστατεύσει απευθείας από το spyware, θα σας βοηθήσει να ανακτήσετε τα δεδομένα σας αν ο υπολογιστής σας προσβληθεί.

Πηγή: thehackernews.com