Arid Viper (diğer adıyla APT-C-23, Desert Falcon veya TAG-63) olarak bilinen tehdit aktörünün, virüslü telefonlardan veri toplamak için tasarlanmış sahte bir arkadaşlık uygulamasıyla Arapça konuşan kullanıcıları hedef alan bir Android casus yazılım kampanyasının arkasında olduğu düşünülüyor.
Cisco Talos Salı günü yayınlanan bir raporda, “Arid Viper’ın Android kötü amaçlı yazılımı, operatörlerin kurbanların cihazlarından hassas bilgileri gizlice toplamasına ve ek yürütülebilir dosyalar dağıtmasına olanak tanıyan bir dizi özelliğe sahip” dedi.
En az 2017’den beri aktif olan Kurak Engerek, Gazze Şeridi’ni yöneten İslamcı militan hareket Hamas ile uyumlu bir siber casusluk kurumudur. Siber güvenlik firması, kampanyayı devam eden İsrail-Hamas savaşına bağlayan hiçbir kanıt bulunmadığını söyledi.
Faaliyetin Nisan 2022’den daha erken başlamadığına inanılıyor.
İlginç bir şekilde, mobil kötü amaçlı yazılım, Skipped adlı kötü amaçlı olmayan bir çevrimiçi flört uygulamasıyla kaynak kodu benzerlikleri paylaşıyor; bu da operatörlerin ya uygulamanın geliştiricisiyle bağlantılı olduğunu ya da aldatma amacıyla bu uygulamanın özelliklerini kopyalamayı başardığını öne sürüyor.
Görünüşte zararsız sohbet uygulamalarının kötü amaçlı yazılım dağıtmak için kullanılması, “geçmişte Arid Viper tarafından kullanılan ‘bal tuzağı’ taktikleriyle aynı doğrultudadır”; bu taktik, sosyal medya platformlarındaki sahte profillerden yararlanarak potansiyel hedefleri kandırarak onları yüklemeye yöneltmiştir.
Cisco Talos, aynı zamanda Skipped’a benzeyen veya aynı olan ve Android ve iOS için resmi uygulama mağazalarından indirilebilen flört temalı uygulamalar oluşturan genişletilmiş bir şirket ağının da tespit edildiğini söyledi.
- VIVIO – Sohbet et, flört et ve flört et (Apple App Store’da mevcuttur)
- Meeted (önceden Joostly) – Flört, Sohbet ve Flört (Apple App Store’da mevcut)
- SKIPPED – Sohbet, Eşleşme ve Flört (Google Play Store’da 50.000 indirme)
- Joostly – Flört Uygulaması! Bekarlar (Google Play’de 10.000 indirme)
Şirket, simüle edilmiş flört uygulamaları dizisinin, “Kurak Viper operatörlerinin gelecekteki kötü amaçlı kampanyalarda bu ek uygulamalardan yararlanmaya çalışabileceği” olasılığını artırdığını belirtti.
Kötü amaçlı yazılım yüklendikten sonra, işletim sisteminden gelen sistemi veya güvenlik bildirimlerini kapatarak kurbanın makinesinde gizlenir ve ayrıca Samsung mobil cihazlarında ve altında uçmak için “güvenlik” kelimesini içeren APK paket adına sahip herhangi bir Android telefondaki bildirimleri devre dışı bırakır. radar.
Ayrıca ses ve video kaydetme, kişileri okuma, çağrı kayıtlarına erişme, SMS mesajlarına müdahale etme, Wi-Fi ayarlarını değiştirme, arka plan uygulamalarını sonlandırma, fotoğraf çekme ve sistem uyarıları oluşturma gibi izinsiz izinler istemek üzere tasarlanmıştır.
İmplantın diğer dikkate değer özellikleri arasında sistem bilgilerini alma, mevcut C2 sunucusundan güncellenmiş bir komuta ve kontrol (C2) alanı alma ve ayrıca Facebook Messenger gibi meşru uygulamalar olarak kamufle edilen ek kötü amaçlı yazılım indirme yeteneği yer alıyor. Instagram ve WhatsApp.
Bu gelişme, Kayıtlı Gelecek’in, Hamas’ın askeri kanadı İzzeddin El Kassam Tugayları’na bağlı olduğunu iddia eden bir Telegram Channel’da yayılan Al Qassam adlı bir Android uygulamasıyla ilgili altyapı çakışmaları yoluyla muhtemelen Kurak Engerek’i Hamas’a bağlayan işaretlerin ortaya çıkmasıyla ortaya çıktı.
Şirket, “Bunlar yalnızca operasyonel güvenlikte olası bir kaymayı değil, aynı zamanda gruplar arasında paylaşılan altyapının sahipliğini de gösteriyor” dedi. “Bu gözlemi açıklayan olası bir hipotez, TAG-63’ün altyapı kaynaklarını Hamas örgütünün geri kalanıyla paylaştığıdır.”