AridSpy: как ХАМАС тайно шпионит за Ближним Востоком

Группа хакеров Arid Viper, известная также как APT-C-23 и Desert Falcon, развивает новую кампанию мобильного шпионажа, распространяя вредоносное ПО AridSpy через заражённые Android -приложения.

По данным исследователей ESET , вредоносное ПО распространяется через специализированные сайты, имитирующие различные приложения, в которые был добавлен вредоносный код AridSpy.

Вредоносная кампания длится с 2022 года и включает пять активных операций, три из которых продолжаются до сих пор. Сама по себе группировка Arid Viper, предположительно связанная с ХАМАС, известна использованием мобильного вредоносного ПО с 2017 года, нацеливаясь на военных, журналистов и диссидентов на Ближнем Востоке.

Анализ последней версии AridSpy исследователями ESET показывает, что вредонос со временем превратился в многоступенчатый троян, способный загружать дополнительные вредоносные компоненты с командного сервера. Основные цели атаки — пользователи в Палестине и Египте, которые загружают заражённые приложения с поддельных сайтов.

Некоторые из таких приложений представляются защищёнными мессенджерами, такими как LapizaChat, NortirChat и ReblyChat, которые основаны на легитимных приложениях StealthChat, Session и Voxer Walkie Talkie Messenger. Также есть приложение, имитирующее программу Палестинского гражданского регистра.

Сайт «palcivilreg[.]com», зарегистрированный 30 мая 2023 года, рекламируется через специальную страницу на Facebook со 179 подписчиками. Вредоносное приложение на этом сайте создано на основе легитимного приложения из Google Play, но использует собственный клиент для связи с легитимным сервером.

Также обнаружено, что AridSpy распространяется через приложение для поиска работы с сайта «almoshell[.]website», зарегистрированного в августе 2023 года. Это приложение не имеет аналога среди легитимных программ.

После установки вредоносное ПО проверяет наличие антивирусных программ и, в случае их отсутствия, загружает первый этап вредоносного кода. Этот этап мимикрирует под обновление Google Play Services и работает независимо от первоначального зараженного приложения.

Основная задача первого этапа — загрузить следующий компонент, который обладает шпионскими функциями и использует домен Firebase для связи с командным сервером. Вредоносное ПО может выполнять различные команды для сбора данных с устройства и деактивировать себя при необходимости.

Если пользователь блокирует или разблокирует телефон, AridSpy делает снимок с фронтальной камеры и отправляет его на сервер, при условии, что с последнего снимка прошло более 40 минут, а уровень заряда батареи выше 15%.

Пользователям следует проявлять бдительность при установке приложений из непроверенных источников, не переходить по сомнительным ссылкам и своевременно обновлять программное обеспечение. Только комплексный подход к кибербезопасности позволит снизить риски заражения вредоносными программами и предотвратить кражу конфиденциальной информации злоумышленниками.