El actor de amenazas conocido como Arid Viper ha sido atribuido a una campaña de espionaje móvil que aprovecha aplicaciones troyanizadas de Android para entregar una cepa de software espía denominada AridSpy.
«El malware se distribuye a través de sitios web dedicados que se hacen pasar por varias aplicaciones de mensajería, una aplicación de oportunidades laborales y una aplicación de Registro Civil Palestino», dijo el investigador de ESET Lukáš Štefanko en un informe publicado hoy. «A menudo se trata de aplicaciones existentes que han sido troyanizadas mediante la adición del código malicioso de AridSpy».
Se dice que la actividad abarcó hasta cinco campañas desde 2022, con variantes anteriores de AridSpy documentadas por Zimperium y 360 Beacon Labs . Tres de las cinco campañas siguen activas.
Arid Viper, un actor sospechoso de estar afiliado a Hamas y que también se llama APT-C-23, Desert Falcon, Gray Karkadann, Mantis y Two-tailed Scorpion, tiene un largo historial de uso de malware móvil desde su aparición en 2017.
«Históricamente, Arid Viper ha apuntado a personal militar en Medio Oriente, así como a periodistas y disidentes», señaló SentinelOne a fines del año pasado, agregando que el grupo «continúa prosperando en el espacio del malware móvil».
El análisis de ESET de la última versión de AridSpy muestra que se ha transformado en un troyano de varias etapas que puede descargar cargas útiles adicionales desde un servidor de comando y control (C2) mediante la aplicación troyanizada inicial.
Las cadenas de ataques implican principalmente atacar a usuarios en Palestina y Egipto a través de sitios falsos que funcionan como puntos de distribución para las aplicaciones trampa.
Algunas de las aplicaciones falsas pero funcionales afirman ser servicios de mensajería seguros, como LapizaChat, NortirChat y ReblyChat, cada uno de los cuales se basa en aplicaciones legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger, mientras que otra aplicación pretende ser de el Registro Civil Palestino.
También se descubrió que el sitio web del Registro Civil Palestino («palcivilreg[.]com»), que se registró el 30 de mayo de 2023, se anuncia a través de una página dedicada de Facebook que tiene 179 seguidores. La aplicación propagada a través del sitio web está inspirada en una aplicación del mismo nombre que está disponible en Google Play Store.
«La aplicación maliciosa disponible en palcivilreg[.]com no es una versión troyanizada de la aplicación en Google Play; sin embargo, utiliza el servidor legítimo de esa aplicación para recuperar información», dijo Štefanko. «Esto significa que Arid Viper se inspiró en la funcionalidad de esa aplicación pero creó su propia capa de cliente que se comunica con el servidor legítimo».
ESET dijo que descubrió además que AridSpy se difundía bajo la apariencia de una aplicación de oportunidades laborales desde un sitio web («almoshell[.]website») registrado en agosto de 2023. Un aspecto notable de la aplicación es que no se basa en ninguna aplicación legítima.
Tras la instalación, la aplicación maliciosa busca la presencia de software de seguridad en una lista codificada y continúa descargando una carga útil de primera etapa solo si ninguno de ellos está instalado en el dispositivo. La carga útil se hace pasar por una actualización de los servicios de Google Play .
«Esta carga útil funciona por separado, sin necesidad de tener la aplicación troyanizada instalada en el mismo dispositivo», explicó Štefanko. «Esto significa que si la víctima desinstala la aplicación troyanizada inicial, por ejemplo LapizaChat, AridSpy no se verá afectado de ninguna manera».
La principal responsabilidad de la primera etapa es descargar el componente de la siguiente etapa, que alberga la funcionalidad maliciosa y utiliza un dominio de Firebase para fines C2.
El malware admite una amplia gama de comandos para recopilar datos de los dispositivos e incluso puede desactivarse o realizar una exfiltración cuando tiene un plan de datos móviles. La exfiltración de datos se inicia mediante un comando o cuando se activa un evento específicamente definido.
«Si la víctima bloquea o desbloquea el teléfono, AridSpy tomará una fotografía con la cámara frontal y la enviará al servidor C&C de exfiltración», dijo Štefanko. «Las fotografías se toman sólo si han pasado más de 40 minutos desde la última fotografía y el nivel de la batería está por encima del 15%».
Fuente y redacción: thehackernews.com