Tehdit aktörü olarak bilinen Kurak Engerek AridSpy adlı bir casus yazılım türü sunmak için truva atı haline getirilmiş Android uygulamalarını kullanan bir mobil casusluk kampanyasıyla ilişkilendirildi.
ESET araştırmacısı Lukáš Štefanko bugün yayınlanan bir raporda, “Kötü amaçlı yazılım, çeşitli mesajlaşma uygulamalarını, bir iş fırsatı uygulamasını ve bir Filistin Sivil Kayıt uygulamasını taklit eden özel web siteleri aracılığıyla dağıtılıyor.” dedi. “Bunlar genellikle AridSpy’ın kötü amaçlı kodunun eklenmesiyle truva atı haline getirilmiş mevcut uygulamalardır.”
Etkinliğin 2022’den bu yana beş kampanyaya yayıldığı ve AridSpy’ın önceki versiyonlarının Zimperium ve 360 Beacon Labs tarafından belgelendiği söyleniyor. Beş kampanyadan üçü hâlâ aktif.
APT-C-23, Desert Falcon, Grey Karkadann, Mantis ve Two-tailed Scorpion olarak da anılan ve Hamas bağlantılı olduğundan şüphelenilen bir aktör olan Arid Viper, 2017’de ortaya çıkışından bu yana mobil kötü amaçlı yazılım kullanma konusunda uzun bir geçmişe sahip.
Geçen yılın sonlarında SentinelOne, “Kurak Viper’ın tarihsel olarak Orta Doğu’daki askeri personelin yanı sıra gazetecileri ve muhalifleri de hedef aldığını” belirterek, grubun “mobil kötü amaçlı yazılım alanında gelişmeye devam ettiğini” ekledi.
ESET’in AridSpy’ın en son sürümüne ilişkin analizi, bunun, ilk truva atı haline getirilmiş uygulama tarafından bir komut ve kontrol (C2) sunucusundan ek yükler indirebilen çok aşamalı bir truva atına dönüştürüldüğünü gösteriyor.
Saldırı zincirleri esas olarak bubi tuzaklı uygulamalar için dağıtım noktası işlevi gören sahte siteler aracılığıyla Filistin ve Mısır’daki kullanıcıları hedeflemeyi içeriyor.
Sahte ama işlevsel uygulamalardan bazıları LapizaChat, NortirChat ve ReblyChat gibi güvenli mesajlaşma hizmetleri olduklarını iddia ederken, bunların her biri StealthChat, Session ve Voxer Walkie Talkie Messenger gibi meşru uygulamaları temel alıyor. Filistin Sivil Sicili.
Filistin Nüfus Dairesi’nin web sitesi (“palcivilreg[.]30 Mayıs 2023’te kayıtlı olan “.com”) adlı uygulamanın da 179 takipçisi olan özel bir Facebook sayfası aracılığıyla reklamının yapıldığı tespit edilmiştir. Web sitesi aracılığıyla yayılan uygulama, Google’da mevcut olan aynı isimli bir uygulamadan ilham almıştır. Oyun mağazası.
“Palcivilreg’de bulunan kötü amaçlı uygulama[.]com, Google Play’deki uygulamanın truva atı haline getirilmiş bir sürümü değildir; ancak bilgi almak için bu uygulamanın meşru sunucusunu kullanıyor” diyen Štefanko şöyle devam etti: “Bu, Arid Viper’ın bu uygulamanın işlevselliğinden ilham aldığı ancak meşru sunucuyla iletişim kuran kendi istemci katmanını oluşturduğu anlamına geliyor.”
ESET ayrıca AridSpy’ın bir web sitesinden (“almoshell”) bir iş fırsatı uygulaması kisvesi altında yayıldığını keşfettiğini söyledi.[.]web sitesi”) Ağustos 2023’te tescil edilmiştir. Uygulamanın dikkate değer bir yönü, herhangi bir meşru uygulamayı temel almamasıdır.
Kurulumun ardından kötü amaçlı uygulama, sabit kodlanmış bir listede güvenlik yazılımının varlığını kontrol eder ve yalnızca cihazda hiçbiri yüklü değilse birinci aşama veriyi indirmeye devam eder. Yük, Google Play Hizmetleri’nin bir güncellemesinin kimliğine bürünüyor.
Štefanko, “Bu veri, truva atı haline getirilmiş uygulamanın aynı cihaza yüklenmesine gerek kalmadan ayrı olarak çalışıyor” diye açıkladı. “Bu, eğer kurban LapizaChat gibi ilk truva atı bulaşmış uygulamayı kaldırırsa, AridSpy’ın hiçbir şekilde etkilenmeyeceği anlamına geliyor.”
İlk aşamanın ana sorumluluğu, kötü amaçlı işlevleri barındıran ve C2 amaçları için Firebase etki alanını kullanan sonraki aşama bileşenini indirmektir.
Kötü amaçlı yazılım, cihazlardan veri toplamak için çok çeşitli komutları destekler ve hatta mobil veri planındayken kendisini devre dışı bırakabilir veya sızma gerçekleştirebilir. Veri sızması bir komut aracılığıyla ya da özel olarak tanımlanmış bir olay tetiklendiğinde başlatılır.
Štefanko, “Kurban telefonu kilitlerse veya kilidini açarsa, AridSpy ön kamerayı kullanarak bir fotoğraf çekecek ve bunu dışarı sızma C&C sunucusuna gönderecek” dedi. “Fotoğraflar yalnızca son fotoğrafın çekilmesinin üzerinden 40 dakikadan fazla zaman geçmişse ve pil seviyesi %15’in üzerindeyse çekilir.”