Arid Viper APT Group, 2022’den bu yana beş kampanyayla Orta Doğu’daki Android kullanıcılarını hedef aldı. Bu kampanyalarda, sahte web sitelerinden indirilen ve bilinmeyen kaynaklardan kurulumun etkinleştirilmesini gerektiren mesajlaşma uygulamaları ve nüfus kayıt uygulaması gibi meşru uygulamaları taklit eden truva atı haline getirilmiş uygulamalar kullanıldı. .
Başlangıçta tek aşamalı olan AridSpy kötü amaçlı yazılımı, bir komut ve kontrol sunucusundan ek yükler indiren çok aşamalı bir truva atına dönüştü.
Grup, dağıtım web sitelerine bağlanmak ve ek kampanyaları belirlemek için myScript.js komut dosyasını kullandı.
.webp)
Filistin ve Mısır’daki kullanıcıları hedef alan, mesajlaşma uygulamaları ve Filistin Nüfus Dairesi uygulaması gibi meşru uygulamaları taklit eden web siteleri aracılığıyla dağıtılan yeni, çok aşamalı bir Android casus yazılımı keşfedildi.
Saldırganlar, casus yazılımı sunucularından indirmek için, diğer araştırmacıların daha önce Arid Viper APT grubuna bağladığı myScript.js adlı kötü amaçlı bir JavaScript dosyası kullandı.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
myScript.js’de kullanılan özel kod, AridSpy’ın Arid Viper ile orta düzeyde güvenle ilişkilendirilmesine yardımcı olur.
.webp)
Saldırganlar, kullanıcıları StealthChat, Session ve Voxer gibi gerçek mesajlaşma uygulamalarının Truva atı haline getirilmiş versiyonları olan meşru mesajlaşma uygulamalarına benzeyen kötü amaçlı uygulamaları indirmeleri için kandırmak için sosyal mühendislik kullandı.
Kötü amaçlı uygulamaları özel web siteleri aracılığıyla dağıttılar. Bu web sitelerindeki indirme düğmesine tıklamak, indirme yolunu sunucudan alan bir komut dosyasını başlattı.
Truva Atı haline getirilmiş uygulamalar, kullanıcı verilerini çalabilecek AridSpy kötü amaçlı yazılımını içeriyordu.
.webp)
Filistin Nüfus İdaresi ve iş fırsatı uygulamaları gibi görünen kötü amaçlı Android uygulamalarını dağıtan bir kampanya başlattılar. Filistin Sivil Kayıt uygulaması, kişisel bilgileri toplamak için meşru bir uygulamayı taklit ediyor.
İş fırsatı uygulaması herhangi bir meşru uygulamanın truva atı haline getirilmiş bir sürümü değildir; bunun yerine, her iki uygulamanın da Facebook’ta reklamının yapıldığı kötü amaçlı yazılım dağıtım web sitesine istek gönderir.
.webp)
AridSpy, yüklü güvenlik yazılımını kontrol eden ve bulunması halinde yüklerin indirilmesini önleyen, meşru uygulamaları taklit eden truva atı haline getirilmiş uygulamalar aracılığıyla dağıtılan çok aşamalı bir Android casus yazılımıdır.
Casus yazılım, ön kamerayla fotoğraf çeker, çeşitli cihaz verilerini ve kullanıcı etkinliklerini toplar, bunları bir C&C sunucusuna sızdırır ve komutlarla uzaktan kontrol edilebilir.
Ayrıca erişilebilirlik hizmetlerini kötüye kullanarak Facebook Messenger ve WhatsApp iletişimlerini de gözetliyor.
.webp)
Android uygulamalarında çeşitli kötü amaçlı yazılım sürümleri bulunurken, sürümlerin artması, kötü amaçlı yazılım bakımının etkin olduğunu gösterir.
İlginç bir şekilde, truva atı haline getirilmiş bazı uygulamalar, aynı işlevsellik uygulamanın kendisinde zaten mevcut olmasına rağmen, ikinci aşamadaki bir veri aracılığıyla kötü amaçlı işlevsellik sunar.
ESET araştırmacılarına göre bu davranış muhtemelen kasıtsız ve önceki sürümlerden kalma kod olabilir.
Ne olursa olsun, bu uygulamalar ikinci aşama veri olmadan da casus yazılım olarak işlev görebilir. Ancak ikinci aşama verisi muhtemelen en son kötü amaçlı yazılım güncellemelerini içeriyor.
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free