被称为Arid Viper的威胁行为者被认为是一项移动间谍活动的成员,该活动利用被木马感染的 Android 应用程序来传播一种名为 AridSpy 的间谍软件。
ESET 研究员 Lukáš Štefanko 在今天发布的一份报告中表示: “恶意软件通过专门的网站进行传播,这些网站冒充各种消息应用程序、工作机会应用程序和巴勒斯坦民事登记应用程序。通常,这些应用程序都是通过添加 AridSpy 的恶意代码而被木马感染的。”
据称,自 2022 年以来,该活动已持续多达五次,Zimperium和360 Beacon Labs记录了 AridSpy 的先前变体。五次活动中有三个仍然活跃。
ESET 对最新版本 AridSpy 的分析表明,它已转变为多阶段木马,可以通过初始的木马应用程序从命令和控制 (C2) 服务器下载其他有效负载。
攻击链主要通过虚假网站瞄准巴勒斯坦和埃及的用户,这些网站充当了陷阱应用程序的分发点。
一些虚假但功能齐全的应用程序声称自己是安全的消息服务,例如 LapizaChat、NortirChat 和 ReblyChat,它们每个都基于 StealthChat、Session 和 Voxer Walkie Talkie Messenger 等合法应用程序。
ESET 表示,它进一步发现 AridSpy 以工作机会应用程序的幌子通过一个于 2023 年 8 月注册的网站(“almoshell[.]website”)进行传播。该应用程序的一个值得注意的方面是,它不是基于任何合法应用程序。
安装后,恶意应用程序会根据硬编码列表检查是否存在安全软件,并且只有当设备上未安装任何安全软件时才会继续下载第一阶段的有效负载。该有效负载会冒充Google Play 服务的更新。
“该有效载荷可单独运行,无需在同一设备上安装木马应用程序,”Štefanko 解释道。“这意味着,如果受害者卸载了最初的木马应用程序(例如 LapizaChat),AridSpy 将不会受到任何影响。”
第一阶段的主要职责是下载下一阶段组件,该组件包含恶意功能并利用 Firebase 域进行 C2 目的。
该恶意软件支持多种命令来从设备中获取数据,甚至可以在使用移动数据套餐时自行停用或执行数据泄露。数据泄露是通过命令或触发特定定义的事件来启动的。
“如果受害者锁定或解锁手机,AridSpy 将使用前置摄像头拍照并将其发送到渗透 C&C 服务器,”Štefanko 说。“只有距离上次拍照已超过 40 分钟且电池电量高于 15% 时才会拍照。”