13 de junio de 2024Sala de redacción Inteligencia sobre amenazas/Seguridad móvil
Se cree que el actor de amenazas conocido como Arid Viper está involucrado en una campaña de espionaje móvil que aprovecha aplicaciones troyanizadas de Android para entregar software espía llamado AridSpy.
“El malware se distribuye a través de varias aplicaciones de mensajería, aplicaciones de ofertas de empleo y sitios web dedicados disfrazados de aplicaciones de registro de ciudadanos palestinos”, dijo el investigador de ESET Lukáš Štefanko en un informe publicado hoy. “En muchos casos, se trata de aplicaciones existentes que han sido troyanizadas añadiendo el código malicioso de AridSpy”.
Se dice que la campaña abarcó cinco campañas desde 2022, y Zimperium y 360 Beacon Labs han documentado variantes anteriores de AridSpy. Tres de las cinco campañas siguen activas.
Arid Viper, también conocido como APT-C-23, Desert Falcon, Gray Karkadann, Mantis y Two-tailed Scorpion, es un actor sospechoso de estar afiliado a Hamás que ha estado utilizando malware móvil desde su aparición en 2017. Tenemos una larga trayectoria registro.
“Históricamente, Arid Viper ha apuntado a personal militar, periodistas y disidentes en el Medio Oriente”, señaló SentinelOne a fines del año pasado, y agregó que el grupo “continúa ganando fuerza en el espacio del malware móvil”.
El análisis de ESET de la última versión de AridSpy muestra que la aplicación troyanizada inicial se ha transformado en un troyano de varias etapas que puede descargar cargas útiles adicionales desde los servidores de comando y control (C2).
La cadena de ataque se dirige principalmente a usuarios de Palestina y Egipto a través de sitios falsos que sirven como centros de distribución para las aplicaciones de trampa.
Algunas aplicaciones falsas pero funcionales afirman ser servicios de mensajería seguros, como LapizaChat, NortirChat y ReblyChat, todas ellas basadas en aplicaciones legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger. Otra aplicación dice ser del Registro Civil Palestino.
Registro Civil Palestino (“palcivilreg”)[.]También se descubrió que la aplicación, registrada el 30 de mayo de 2023, se promocionaba a través de una página de Facebook dedicada con 179 seguidores. La aplicación promocionada a través de este sitio web está inspirada en la aplicación del mismo nombre disponible en Google Play Store.
“Aplicaciones maliciosas disponibles en palcivilreg[.]”Arid Viper.com no es una versión troyanizada de la aplicación en Google Play, sino que utiliza los servidores legítimos de la aplicación para recuperar información”, dijo Stefanko. “Eso significa que Arid Viper se inspiró en la funcionalidad de esa aplicación y creó su propia capa de cliente que se comunica con un servidor legítimo”.
ESET también afirma que AridSpy se hizo pasar por una aplicación de búsqueda de empleo y publicó un sitio web (“almoshell[.]Esta aplicación se puede descargar desde el sitio web “Google Play”, que se registró en agosto de 2023. Lo notable de esta aplicación es que no se basa en ninguna aplicación legítima.
Una vez instalada, la aplicación maliciosa verifica la presencia de software de seguridad con una lista codificada y procede a descargar la carga útil de la primera etapa solo si el dispositivo no tiene software de seguridad instalado. La carga útil disfraza una actualización de los servicios de Google Play.
“Esta carga útil funciona por separado y no requiere que la aplicación troyanizada esté instalada en el mismo dispositivo”, explicó Stefanko. “Esto significa que incluso si la víctima desinstala primero la aplicación troyanizada, como LapizaChat, AridSpy no se ve afectado en absoluto”.
La función principal de la primera etapa es ocultar la funcionalidad maliciosa y descargar los componentes de la siguiente etapa que aprovechan el dominio de Firebase para fines C2.
El malware admite una amplia gama de comandos para recopilar datos de su dispositivo y también puede desactivarse y realizar una extracción de datos si tiene un plan de datos móviles. La extracción de datos se inicia mediante un comando o cuando se activa un evento especialmente definido.
“Cuando una víctima bloquea o desbloquea su teléfono, AridSpy usa la cámara frontal para tomar una foto y la envía a un servidor C&C exfiltrado”, dijo Stefanko. “Sólo se tomarán fotografías si han pasado más de 40 minutos desde la última foto que se tomó y el nivel de la batería está por encima del 15%”.
En una declaración compartida con The Hacker News, Google dijo que los usuarios de Android están protegidos de AridSpy por Google Play Protect, una solución de protección contra malware incorporada que está habilitada de forma predeterminada en todos los dispositivos.
¿Te pareció interesante este artículo?sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
Fuente: https://thehackernews.com/2024/06/arid-viper-launches-mobile-espionage.html