APT grubu Arid Viper, hassas kullanıcı bilgilerini toplamak için bir flört uygulamasının sahte sürümüyle Arapça konuşan Android kullanıcılarını hedefliyor.
Cisco Talos’un araştırmasına göre grup, Skipped adlı bir flört uygulamasını, Google Play mağazasından indirilebilen, benzer adı kullanan kötü amaçlı bir sürümle kopyalıyor.
Operatörler, indirildikten sonra, kullanıcıya bir eğitim videosu sunmak için güncelleme kılığına girerek kötü amaçlı bağlantıları paylaşıyor. Videonun açıklamasındaki bir URL, kullanıcıları özel kötü amaçlı yazılım sunan, saldırgan tarafından kontrol edilen bir alana yönlendiriyor.
YouTube hesabı Mart 2022’de oluşturuldu ve yalnızca bir video yükledi; bu video, araştırmanın yayınlandığı tarihte yaklaşık 50 izlenme sayısına ulaştı. Şirket, bu kampanyada saldırganlar tarafından kullanılan tüm alan adlarının yalnızca Arid Viper tarafından kaydedildiğini, işletildiğini ve kontrol edildiğini ve bunların Arid Viper altyapısının önceki versiyonlarında gözlemlenen aynı adlandırma modellerini takip ettiğini belirledi.
Kötü amaçlı yazılım ayrıca güvenlik bildirimlerini devre dışı bırakabilir, kullanıcıların hassas bilgilerini toplayabilir ve güvenliği ihlal edilmiş cihazlara ek kötü amaçlı uygulamalar dağıtabilir. Araştırmacılar, kötü amaçlı yazılım kampanyasının en az Nisan 2022’den beri aktif olduğunu belirledi.