ESET виявив п'ять кампаній, в яких використовуються заражені троянами додатки для націлення на користувачів Android
Дослідники ESET виявили п'ять кампаній, у яких використовуються заражені троянами додатки для націлювання користувачів Android. Ці кампанії, швидше за все, проводилися гуртом Arid Viper APT, почалися в 2022 році, і три з них все ще продовжуються на момент публікації цього прес-релізу. Вони розгортають багатоетапне шпигунське програмне забезпечення для Android, яке ESET назвала AridSpy, яке завантажує корисне навантаження першого та другого етапів зі свого сервера управління та контролю (C&C), щоб допомогти йому уникнути виявлення. Шкідливе програмне забезпечення розповсюджується через спеціальні веб-сайти, що видають себе за різні програми для обміну повідомленнями, додаток для пошуку роботи та додаток Цивільного реєстру Палестини. Найчастіше це існуючі програми, заражені троянами шляхом додавання шкідливого коду AridSpy. Дослідження ESET виявило віддалено керований троян AridSpy, який займається шпигунством за даними користувача, в Палестині та Єгипті.
Arid Viper, також відома як APT-C-23, "Соколи пустелі" або "Двохвостий скорпіон", - це група кібершпигунства, відома своїми нападами на країни Близького Сходу; Протягом багатьох років гурт привертав увагу своїм обширним арсеналом шкідливого ПЗ для платформ Android, iOS та Windows.
Три зачеплені програми, надані через веб-сайти, що видають себе за іншу особу, є законними програмами, зараженими шпигунським програмним забезпеченням AridSpy. Ці шкідливі програми ніколи не пропонувалися через Google Play і завантажуються виключно зі сторонніх сайтів. Щоб встановити ці програми, потенційній жертві пропонується увімкнути нестандартну опцію Android для встановлення програм з невідомих джерел. Більшість екземплярів шпигунського ПЗ, зареєстрованих у Палестині, були пов'язані зі шкідливим додатком «Запис актів громадянського стану Палестини».
«Щоб отримати початковий доступ до пристрою, зловмисники намагаються переконати свою потенційну жертву встановити підроблений, але працездатний додаток. Як тільки ціль натискає кнопку завантаження на сайті, запускається myScript.js, розміщений на тому ж сервері, для створення правильного шляху завантаження для шкідливого файлу», — пояснює дослідник ESET Лукаш Штефанко, який виявив AridSpy, описуючи, як заражаються користувачі.
Одна з кампаній включала LapizaChat, шкідливий додаток для обміну повідомленнями для Android з троянізованими версіями StealthChat: Private Messaging у комплекті зі шкідливим кодом AridSpy. ESET виявила дві інші кампанії, які почали розповсюджувати AridSpy після LapizaChat, цього разу видаючи себе за програми для обміну повідомленнями під назвою NortirChat та ReblyChat. NortirChat заснований на легальній програмі для обміну повідомленнями Session, а ReblyChat заснований на легальному Voxer Walkie Talkie Messenger.
З іншого боку, програма Палестинського цивільного реєстру створена на основі програми, раніше доступної в Google Play. Однак, згідно з нашим розслідуванням, шкідлива програма, доступна в Інтернеті, не заражена трояном версією програми в Google Play; натомість він використовує законний сервер цієї програми для отримання інформації. Це означає, що Arid Viper був натхненний функціональністю цієї програми, але створив власний рівень клієнта, який взаємодіє з законним сервером. Швидше за все, Arid Viper розробив законну програму для Android з Google Play і використовував його сервер для отримання даних жертв. Остання кампанія, виявлена ESET, розповсюджує AridSpy як додаток для пошуку роботи.
У AridSpy є функція, що дозволяє уникнути виявлення мережі, зокрема, зв'язку C&C. Він може деактивуватись сам, як зазначено в коді AridSpy. Ексфільтрація даних ініціюється при отриманні команди від C&C-сервера Firebase, або при спрацюванні спеціально певної події. До цих подій відносяться зміни підключення до Інтернету, встановлення або видалення програми, здійснення або отримання телефонного дзвінка, надсилання або отримання SMS-повідомлення, підключення або вимкнення зарядного пристрою або перезавантаження пристрою.
Якщо відбувається будь-яка з цих подій, AridSpy починає збирати різні дані жертви і завантажує їх на командний сервер ексфільтрації. Він може збирати розташування пристрою; списки контактів; журнали дзвінків; текстові повідомлення; мініатюри фотографій; мініатюри записаних відеороликів; записані телефонні розмови; записаний навколишній звук; фотографії, зроблені шкідливим ПЗ; Бази даних WhatsApp, що містять обмін повідомленнями та контакти користувачів; закладки та історія пошуку з браузера за промовчанням та додатків Chrome, Samsung Browser та Firefox, якщо вони встановлені; файли із зовнішнього сховища; спілкування через Facebook Messenger та WhatsApp; і всі отримані повідомлення, серед іншого.