Logiciel malveillant mobile AridSpy
Le groupe de cybermenaces connu sous le nom d'AridViper est à l'origine d'une série d'opérations d'espionnage mobile utilisant des applications Android trojanisées pour distribuer une variante de logiciel espion nommée AridSpy. Ces applications menaçantes sont hébergées sur des sites Web trompeurs se faisant passer pour des applications de messagerie légitimes, une plateforme de recherche d'emploi et même une application d'état civil palestinien. Dans de nombreux cas, les applications légitimes sont compromises par l'intégration du mauvais code d'AridSpy.
Table des matières
AridViper a une longue histoire de menaces de logiciels malveillants mobiles
Arid Viper, également connu sous les noms d'APT-C-23 , Desert Falcon, Grey Karkadann, Mantis et Two-tailed Scorpion, serait associé au Hamas. Depuis son apparition en 2017, ce groupe a systématiquement utilisé des logiciels malveillants mobiles pour ses opérations. Historiquement, Arid Viper a ciblé le personnel militaire, les journalistes et les dissidents au Moyen-Orient. Le groupe reste actif et continue de constituer une menace dans le domaine des logiciels malveillants mobiles.
Les activités les plus récentes se poursuivent depuis 2022 et comprennent jusqu'à cinq campagnes distinctes. Actuellement, trois de ces campagnes restent actives.
AridSpy se propage via de fausses applications mobiles créées par des acteurs menaçants
L'analyse de la dernière itération d'AridSpy révèle son évolution vers un cheval de Troie à plusieurs étapes capable de télécharger des charges utiles supplémentaires à partir d'un serveur de commande et de contrôle (C2) via l'application initiale du cheval de Troie. L'attaque cible principalement les utilisateurs en Palestine et en Égypte, en utilisant de faux sites Web comme points de distribution pour les applications compromises.
Ces applications trompeuses se font souvent passer pour des services de messagerie sécurisés tels que LapizaChat, NortirChat et ReblyChat, imitant des plateformes légitimes comme StealthChat, Session et Voxer Walkie Talkie Messenger. De plus, une autre application se fait passer pour le registre civil palestinien.
L'un de ces sites, palcivilreg.com, enregistré le 30 mai 2023, est promu via une page Facebook dédiée avec 179 abonnés. L'application proposée sur ce site Web est calquée sur une application du même nom trouvée sur le Google Play Store.
Bien que l'application menaçante sur palcivilreg.com ne soit pas une copie directe de la version du Google Play Store, elle utilise le serveur de l'application légitime pour collecter des données. Cela indique qu'Arid Viper s'est inspiré des fonctionnalités de l'application légitime mais a développé sa propre couche client pour interagir avec le véritable serveur.
Chaîne d'attaque du logiciel malveillant AridSpy Mobile
Lors de l'installation, l'application malveillante recherche les logiciels de sécurité sur l'appareil en fonction d'une liste prédéfinie. Si aucune n'est trouvée, il procède au téléchargement d'une charge utile de première étape, qui se fait passer pour une mise à jour des services Google Play.
Cette charge utile fonctionne de manière indépendante, ne nécessitant pas la présence de l'application cheval de Troie sur le même appareil. Par conséquent, la désinstallation de l'application initiale du cheval de Troie, telle que LapizaChat, n'affecte pas AridSpy. La fonction principale de la charge utile de la première étape est de télécharger le composant de l'étape suivante, qui contient des fonctionnalités nuisibles et communique avec un domaine Firebase à des fins de commande et de contrôle (C2).
Le malware est équipé de diverses commandes pour extraire les données des appareils infectés et peut se désactiver ou lancer l'exfiltration de données lorsqu'il est connecté à un forfait de données mobiles. L'extraction des données se produit soit via des commandes spécifiques, soit par des événements déclenchés.
Par exemple, lorsque la victime verrouille ou déverrouille le téléphone, AridSpy capture une photo à l'aide de la caméra frontale et l'envoie au serveur C&C d'exfiltration. Cependant, les images ne sont capturées que si plus de 40 minutes se sont écoulées depuis la dernière prise de vue et si le niveau de la batterie est supérieur à 15 %.
