ESET выявил пять кампаний, в которых используются зараженные троянами приложения для таргетинга на пользователей Android
ESET выявил пять кампаний, в которых используются зараженные троянами приложения для таргетинга на пользователей Android
Исследователи ESET выявили пять кампаний, в которых используются зараженные троянами приложения для таргетинга на пользователей Android. Эти кампании, скорее всего, проводились группой Arid Viper APT, начались в 2022 году, и три из них все еще продолжаются на момент публикации данного пресс-релиза. Они развертывают многоэтапное шпионское ПО для Android, которое ESET назвала AridSpy, которое загружает полезную нагрузку первого и второго этапов со своего сервера управления и контроля (C&C), чтобы помочь ему избежать обнаружения. Вредоносное ПО распространяется через специальные веб-сайты, выдающие себя за различные приложения для обмена сообщениями, приложение для поиска работы и приложение Гражданского реестра Палестины. Зачастую это существующие приложения, зараженные троянами путем добавления вредоносного кода AridSpy. Исследование ESET обнаружило удаленно управляемый троян AridSpy, который занимается шпионажем за пользовательскими данными, в Палестине и Египте.
Arid Viper, также известная как APT-C-23, «Соколы пустыни» или «Двухвостый скорпион», — это группа кибершпионажа, известная своими нападениями на страны Ближнего Востока; На протяжении многих лет группа привлекала внимание своим обширным арсеналом вредоносного ПО для платформ Android, iOS и Windows.
Три затронутых приложения, предоставленные через веб-сайты, выдающие себя за другое лицо, являются законными приложениями, зараженными шпионским ПО AridSpy. Эти вредоносные приложения никогда не предлагались через Google Play и загружаются исключительно со сторонних сайтов. Чтобы установить эти приложения, потенциальной жертве предлагается включить нестандартную опцию Android для установки приложений из неизвестных источников. Большинство экземпляров шпионского ПО, зарегистрированных в Палестине, были связаны с вредоносным приложением «Запись актов гражданского состояния Палестины».
«Чтобы получить первоначальный доступ к устройству, злоумышленники пытаются убедить свою потенциальную жертву установить поддельное, но работоспособное приложение. Как только цель нажимает кнопку загрузки на сайте, запускается myScript.js, размещенный на том же сервере, для создания правильного пути загрузки для вредоносного файла», — объясняет исследователь ESET Лукаш Штефанко, который обнаружил AridSpy, описывая, как заражаются пользователи.
Одна из кампаний включала LapizaChat, вредоносное приложение для обмена сообщениями для Android с троянизированными версиями StealthChat: Private Messaging в комплекте с вредоносным кодом AridSpy. ESET выявила две другие кампании, которые начали распространять AridSpy после LapizaChat, на этот раз выдавая себя за приложения для обмена сообщениями под названием NortirChat и ReblyChat. NortirChat основан на легальном приложении для обмена сообщениями Session, а ReblyChat основан на легальном Voxer Walkie Talkie Messenger.
С другой стороны, приложение Палестинского гражданского реестра создано на основе приложения, ранее доступного в Google Play. Однако, согласно нашему расследованию, вредоносное приложение, доступное в Интернете, не является зараженной трояном версией приложения в Google Play; вместо этого он использует законный сервер этого приложения для получения информации. Это означает, что Arid Viper был вдохновлен функциональностью этого приложения, но создал собственный клиентский уровень, который взаимодействует с законным сервером. Скорее всего, Arid Viper разработал законное приложение для Android из Google Play и использовал его сервер для получения данных жертв. Последняя кампания, выявленная ESET, распространяет AridSpy как приложение для поиска работы.
В AridSpy есть функция, позволяющая избежать обнаружения сети, в частности связи C&C. Он может деактивироваться сам, как указано в коде AridSpy. Эксфильтрация данных инициируется либо при получении команды от C&C-сервера Firebase, либо при срабатывании специально определенного события. К этим событиям относятся изменения подключения к Интернету, установка или удаление приложения, совершение или получение телефонного звонка, отправка или получение SMS-сообщения, подключение или отключение зарядного устройства или перезагрузка устройства.
Если происходит какое-либо из этих событий, AridSpy начинает собирать различные данные жертвы и загружает их на командный сервер эксфильтрации. Он может собирать местоположение устройства; списки контактов; журналы вызовов; текстовые сообщения; миниатюры фотографий; миниатюры записанных видеороликов; записанные телефонные разговоры; записанный окружающий звук; фотографии, сделанные вредоносным ПО; Базы данных WhatsApp, содержащие обмен сообщениями и контакты пользователей; закладки и история поиска из браузера по умолчанию и приложений Chrome, Samsung Browser и Firefox, если они установлены; файлы с внешнего хранилища; общение через Facebook Messenger и WhatsApp; и все полученные уведомления, среди прочего.
