O ator de ameaça conhecido como Víbora Árida foi atribuído a uma campanha de espionagem móvel que utiliza aplicativos Android trojanizados para fornecer uma variedade de adware chamada AridSpy.
“O malware é distribuído através de websites dedicados que se fazem passar por vários aplicativos de mensagens, um aplicativo de oportunidades de emprego e um aplicativo de registro civil palestino”, disse o pesquisador da ESET Lukáš Štefanko em um relatório publicado hoje. “Muitas vezes, esses são aplicativos existentes que foram trojanizados pela adição do código malicioso do AridSpy.”
Diz-se que a atividade abrangeu até cinco campanhas desde 2022, com variantes anteriores do AridSpy documentadas pela Zimperium e 360 Beacon Labs. Três das cinco campanhas ainda estão ativas.
Arid Viper, um suposto ator afiliado ao Hamas que também é chamado de APT-C-23, Desert Falcon, Grey Karkadann, Mantis e Two-tailed Scorpion, tem um longo histórico de uso de malware móvel desde seu surgimento em 2017.
“O Arid Viper tem historicamente como alvo militares no Oriente Médio, bem como jornalistas e dissidentes”, observou SentinelOne no remaining do ano passado, acrescentando que o grupo “continua a prosperar no espaço de malware móvel”.
A análise da ESET da versão mais recente do AridSpy mostra que ele foi transformado em um trojan de vários estágios que pode baixar cargas adicionais de um servidor de comando e controle (C2) pelo aplicativo trojanizado inicial.
As cadeias de ataque envolvem principalmente atingir usuários na Palestina e no Egito por meio de websites falsos que funcionam como pontos de distribuição para aplicativos com armadilhas.
Alguns dos aplicativos falsos, mas funcionais, afirmam ser serviços de mensagens seguros, como LapizaChat, NortirChat e ReblyChat, cada um deles baseado em aplicativos legítimos como StealthChat, Session e Voxer Walkie Talkie Messenger, enquanto outro aplicativo afirma ser de o Registro Civil Palestino.
O website do Registro Civil Palestino (“palcivilreg(.)com”), que foi registrado em 30 de maio de 2023, também foi anunciado por meio de uma página dedicada no Fb que tem 179 seguidores. O aplicativo propagado pelo website é inspirado em um aplicativo de mesmo nome que está disponível na Google Play Retailer.
“O aplicativo malicioso disponível em palcivilreg(.)com não é uma versão trojanizada do aplicativo no Google Play; no entanto, ele usa o servidor legítimo desse aplicativo para recuperar informações”, disse Štefanko. “Isso significa que o Arid Viper se inspirou na funcionalidade desse aplicativo, mas criou sua própria camada de cliente que se comunica com o servidor legítimo.”
A ESET disse que descobriu ainda que o AridSpy estava sendo disseminado sob o disfarce de um aplicativo de oportunidade de emprego de um website (“almoshell(.)web site”) registrado em agosto de 2023. Um aspecto notável do aplicativo é que ele não é baseado em nenhum aplicativo legítimo.
Após a instalação, o aplicativo malicioso verifica a presença de software program de segurança em uma lista codificada e prossegue para baixar uma carga de primeiro estágio somente se nenhum deles estiver instalado no dispositivo. A carga representa uma atualização do Google Play Companies.
“Essa carga útil funciona separadamente, sem a necessidade de ter o aplicativo trojanizado instalado no mesmo dispositivo”, explicou Štefanko. “Isso significa que se a vítima desinstalar o aplicativo trojanizado inicial, por exemplo o LapizaChat, o AridSpy não será afetado de forma alguma.”
A principal responsabilidade do primeiro estágio é baixar o componente do próximo estágio, que abriga a funcionalidade maliciosa e faz uso de um domínio Firebase para fins C2.
O malware suporta uma ampla gama de comandos para coletar dados dos dispositivos e pode até mesmo se desativar ou realizar exfiltração quando estiver em um plano de dados móveis. A exfiltração de dados é iniciada por meio de um comando ou quando um evento especificamente definido é acionado.
“Se a vítima bloquear ou desbloquear o telefone, o AridSpy tirará uma foto usando a câmera frontal e a enviará ao servidor C&C de exfiltração”, disse Štefanko. “As fotos serão tiradas somente se já tiverem passado mais de 40 minutos desde a última foto tirada e o nível da bateria estiver acima de 15%.”
