ESET Research : Arid Viper-groep richt zich op het Midden-Oosten en vergiftigt, met AridSpy, een Palestijnse app
Arid Viper, ook bekend als APT-C-23, Desert Falcons of Two-tailed Scorpion, is een cyberspionagegroep die zich richt op landen in het Midden-Oosten. De groep trok door de jaren heen de aandacht door zijn enorme arsenaal aan malware voor Android-, iOS- en Windows-platformen.
Drie kwaadaardige apps, aangeboden door nabootsingswebsites, zijn legitieme apps die geïnfecteerd werden met AridSpy-spyware. Ze werden nooit op Google Play aangeboden en worden enkel gedownload van sites van derden. Om ze te installeren moet het potentiële slachtoffer de Android-optie inschakelen die toelaat om apps van onbekende bronnen te installeren. In Palestina was het merendeel van de spyware bestemd voor de kwaadaardige Burgerlijke Stand-app.
“Om een eerste toegang te hebben tot het toestel, proberen de bedreigingsactoren hun potentiële slachtoffer ervan te overtuigen een nep,maar werkende, app te installeren. Als het doelwit op de downloadknop myScript.js van de site klikt, die op dezelfde server wordt gehost, wordt het juiste downloadpad voor het kwaadaardige bestand gegenereerd en uitgevoerd”, zegt Lukáš Štefanko, de ESET-onderzoeker die AridSpy heeft ontdekt.
Een van de campagnes omvatte LapizaChat, een kwaadaardige Android-berichtenapp met getrojaniseerde versies van StealthChat: Private Messaging gebundeld met kwaadaardige AridSpy-code. ESET identificeerde twee andere campagnes die AridSpy na LapizaChat begonnen te distribueren en die zich voordeden als de berichtenapps NortirChat en ReblyChat. NortirChat is gebaseerd op Session, de legitieme berichten-app. ReblyChat is gebaseerd op de legitieme Voxer Walkie Talkie Messenger.
De Palestijnse Burgerlijke Stand-app is geïnspireerd op een app die eerder beschikbaar was op Google Play. Volgens het ESET-onderzoek is de kwaadaardige app die online beschikbaar is, geen trojaanversie van de app op Google Play. Wel gebruikt het de legitieme server van deze app om informatie op te halen. Arid Viper liet zich daarom inspireren door de functionaliteiten van deze app, maar creëerde een eigen cliënt die met de legitieme server communiceert. Arid Viper heeft waarschijnlijk de legitieme Android-app op Google Play reverse-gëngineered alsook de server om de gegevens van de slachtoffers te scrapen. In de nieuwste door ESET geïdentificeerde campagne wordt AridSpy verspreidt als een vacature-app.
AridSpy heeft een functie om netwerkdetectie te voorkomen, meer bepaald C&C-communicatie. Het kan zichzelf uitschakelen, zoals AridSpy in de code aangeeft. Gegevens-exfiltratie begint door het ontvangen van een opdracht van de Firebase C&C-server of als een specifiek gedefinieerde actie geactiveerd wordt. Deze acties omvatten wijzigingen in de internetverbinding, het installeren of verwijderen van een app, het maken of ontvangen van een telefoongesprek, het verzenden of ontvangen van sms-berichten, het aansluiten of loskoppelen van een batterijlader, of wanneer het toestel opnieuw wordt opgestart.
Doet een van deze gebeurtenissen zich voor, dan verzamelt AridSpy verschillende slachtoffergegevens en uploadt deze op de C&C-exfiltratieserver. Het verzamelt de locatie van het toestel; contactlijsten; oproeplogboeken; tekstberichten; thumbnails van opgenomen foto’s en video’s; opgenomen telefoongesprekken; audio-opnames van de omgeving; foto’s gemaakt door malware; WhatsApp-databases met uitgewisselde berichten en gebruikerscontacten; bladwijzers en zoekgeschiedenis van de standaardbrowser en van Chrome-, Samsung Browser- en Firefox-apps, indien geïnstalleerd; bestanden van de externe opslag; Facebook Messenger en WhatsApp-communicatie; en alle ontvangen meldingen.
Lees, voor meer informatie over AridSpy, de blog “Arid Viper poisons Android apps with AridSpy.”
Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.
