ESET’teki siber güvenlik araştırmacıları, Arid Viper APT grubunun yeni bir Android mobil kötü amaçlı yazılım kampanyasını ortaya çıkardı. Bu kampanya, casusluk odaklı, uzaktan kontrol edilen AridSpy truva atını dağıtan truva atı haline getirilmiş uygulamalarla Mısır ve Filistin’deki Android kullanıcılarını hedefliyor.
Bilginiz olsun, APT-C-23 olarak da bilinen Kurak Engerek, Çöl Şahinleri2 kuyruklu Akrep veya İki Kuyruklu Akrep, 2013’ten bu yana aktif olan bir siber casusluk grubudur. Orta Doğu ülkelerini hedef alırlar ve Android, iOS ve Windows platformları için geniş bir kötü amaçlı yazılım cephaneliğine sahiptirler. Şubat 2013’teGrubun, X dereceli bir videoya yerleştirilmiş kötü amaçlı yazılımlarla İsraillileri hedef aldığı tespit edildi. Aralık 2020’degrup PyMICROPSIA kötü amaçlı yazılımı adı verilen yeni bir kötü amaçlı yazılımla geri döndü ancak hedefi aynı kaldı: İsrailliler.
En son kampanyaya gelince, ESET’ten Lukas Stefanko şu ana kadar yaklaşık beş casusluk kampanyasının keşfedildiğini ve bunlardan üçünün hala aktif olduğunu açıkladı. Bu kampanyalar, AridSpy truva atını dağıtmak için mesajlaşmayı, iş fırsatlarını ve NortirChat, LapizaChat, ReblyChat, تطبيق المشغل (Arapça iş fırsatı uygulaması) ve السجل المدني الفلسطيني (Filistin Nüfus Kayıt Bürosu) dahil olmak üzere Filistin Nüfus Kayıt Bürosu uygulamalarını taklit eden kötü amaçlı uygulamalar dağıtır.
Bu kötü amaçlı uygulamalar, Google aracılığıyla değil, telemetri, VirusTotal ve FOFA ağ arama motoru kullanılarak keşfedilen özel üçüncü taraf web siteleri aracılığıyla sunulur. Mağdurların bunları yüklemek için varsayılan olmayan Android seçeneğini etkinleştirmesi gerekir.
ESET’in Filistin ve Mısır kaynaklı telemetrisinde, çoğu kötü niyetli Filistin Sivil Kayıt uygulaması için kayıtlı altı AridSpy örneği tespit edildi. Mısır’da aynı ilk aşama verisi farklı bir paket adıyla bulundu ve LapizaChat ve iş fırsatı kampanyalarındaki örneklerle aynı C&C sunucuları kullanılarak başka bir birinci aşama verisi tespit edildi.
ESET şüpheliler AridSpy truva atı bu kampanya için kullanıldı çünkü grup Filistin ve Mısır’daki kuruluşları hedeflemeye odaklandı ve daha önce 360 Beacon Labs ve FOFA tarafından Arid Viper’a bağlanan kötü amaçlı bir JavaScript dosyası olan “myScript.js” bu örnekte de tespit edildi. 360 Beacon Laboratuvarları rapor edildi Aynı JavaScript kodunun, 2022’de AridSpy’ın önceki bir sürümüyle Katar’daki FIFA Dünya Kupası’nı hedefleyen bir kampanyada kullanıldığı.
AridSpy truva atı, özellikle Facebook Messenger ve WhatsApp iletişimlerini hedef alarak uygulamalardaki görünür ve düzenlenebilir metinleri keyloglayabilen tehlikeli bir kötü amaçlı yazılımdır. Görünür metni kaydetmek ve bir C&C sunucusuna yüklemek için yerleşik erişilebilirlik hizmetlerini kullanarak kullanıcıları kimlik hırsızlığı, mali dolandırıcılık ve şantaj gibi risklere maruz bırakır.
Bu nedenle, güvenilmeyen kaynaklardan uygulama indirirken dikkatli olun ve korunmak için Google Play Store gibi resmi uygulama mağazalarına sadık kalın. Güvenli bir tarama deneyimi sağlamak için her zaman uygulama incelemelerini ve derecelendirmelerini okuyun ve uygulama izinlerini kontrol edin.
- Bilgisayar Korsanları İsrailli Rocket Alert Uygulaması Kullanıcılarını Casus Yazılımlarla Hedefliyor
- Filistin Yanlısı TA402 APT, Yeni Saldırıda IronWind Kötü Amaçlı Yazılımını Kullanıyor
- Play Store’daki Android kötü amaçlı yazılımı Facebook’taki Filistinlileri hedef alıyor
- IsraBye İsrail karşıtı temizleyici kötü amaçlı yazılım, geri yüklenemeyen verileri kilitliyor
- Hamas Bağlantılı Grup SysJoker Kötü Amaçlı Yazılımını Yeniden Canlandırıyor, OneDrive’dan Yararlanıyor