Hamas’a bağlı gelişmiş kalıcı tehdit (APT) grubu Arid Viper’ın, 2022 yılına kadar uzanan Android casus yazılımı AridSpy’ı kullandığı gözlemlendi. Şimdi, araştırmacılar ilk kez, kötü amaçlı yazılımın daha önce gizemli olan sonraki aşamalarının tam bir analizini sağladı.
Yakın zamanda AridSpy kampanyaları hakkında yeni bir rapor yayınlayan ESET araştırmacılarına göre, AridSpy’ın Truva atı haline getirilmiş mesajlaşma uygulamaları aracılığıyla dağıtıldığı ortaya çıktı.
Raporda, “Bu kampanyalarda yeni olan AridSpy, ilk truva atı haline getirilmiş uygulama tarafından komuta ve kontrol sunucusundan ek yüklerin indirilmesiyle çok aşamalı bir truva atına dönüştürüldü” dedi.
Rapora göre araştırmacılar, Mısır ve Filistin’deki Android kullanıcılarını hedef alan beş ayrı AridSpy çalışmasını analiz etti. AridSpy genellikle yasal işlevlere sahip uygulamalarda gizlenir ve tespit edilmesini zorlaştırır; ESET, bu vakada Filistin’deki mağdurların, Filistin Nüfus İdaresi gibi görünen kötü amaçlı bir uygulamanın reklamlarıyla hedef alındığını söyledi. Mısır’da ilk etap casus yazılım LapizaChat adlı bir uygulamanın yanı sıra dolandırıcılık iş fırsatı ilanlarında da gizlenmişti. Uygulamalar, Google Play yerine, tehdit aktörleri tarafından kontrol edilen üçüncü taraf sitelerden indirilebiliyor.
İkinci aşama veri sızıntısı başladığında analiz, tehdit grubunun cihaz konumu, kişi listesi, çağrı kayıtları, kısa mesajlar, fotoğraf küçük resimleri, pano verileri, bildirimler, video kaydı küçük resimleri de dahil olmak üzere çok sayıda veri toplayabildiğini gösterdi. Siber suçlulara ses kaydetme, fotoğraf çekme ve daha fazlasını yapma olanağı sağlıyor.
Önceki analiz, AridSpy’ın 2022’de şu amaçlarla kullanıldığını ortaya çıkardı: Hedef Katar’da düzenlenecek FIFA Dünya KupasıOrta Doğu’daki diğer kampanyaların yanı sıra, rapor söz konusu.
ESET, özel sitelerin hâlâ en az üç AridSpy casusluk kampanyası yürüttüğü konusunda uyarıyor.
“Bu yayının yayınlandığı tarihte, keşfedilen beş kampanyadan üçü hâlâ etkindi; kampanyalar, NortirChat, LapizaChat ve ReblyChat’in kimliğine bürünen kötü amaçlı uygulamaları, iş ilanlarını ve Filistin Sivil Kayıt uygulamalarını dağıtmak için özel web siteleri kullanıyordu. ” dedi rapor.
Arid Viper muhtemelen zaman geçtikçe AridSpy kodunu da koruyor ve geliştiriyor.
Araştırmacılar, “Doğal olarak, ikinci aşamadaki veri, devam eden diğer kampanyalara aktarılabilecek en son güncellemeleri ve kötü amaçlı kod değişikliklerini taşıyor” dedi. “Bu bilgi, AridSpy’ın korunduğunu ve güncellemeler veya işlevsellik değişiklikleri alabileceğini gösteriyor.”