ESET Research identificeerde vijf campagnes die gebruik maakten van getrojaniseerde apps om Android-gebruikers te treffen. Deze campagnes zijn wellicht uitgevoerd door de Arid Viper APT-groep en in 2022 opgestart. Drie campagnes zijn nog aan de gang bij de publicatie van dit persbericht. In meerdere stappen installeren ze een Android-spyware, door ESET AridSpy genoemd, die vanaf de Command & Control (C&C)-server payloads in twee stappen downloadt om detectie te voorkomen.
· ESET Research ontdekt Android-malware met meerdere niveaus, door ESET AridSpy genaamd, en gedistribueerd door vijf specifieke websites.
· ESET ontdekt dat AridSpy in Palestina en Egypte verscheen en schrijft het toe, met middelmatige zekerheid, aan de Arid Viper APT-groep.
· Soms wordt AridSpy-code geïntegreerd in apps die legitieme functionaliteiten bieden.
· AridSpy, een op afstand bestuurbare Trojaan, bespioneert gebruikersgegevens zoals berichten-apps en exfiltreert, onder andere, de data van toestellen.
BRATISLAVA, 13 juni 2024 — ESET Research identificeerde vijf campagnes die gebruik maakten van getrojaniseerde apps om Android-gebruikers te treffen. Deze campagnes zijn wellicht uitgevoerd door de Arid Viper APT-groep en in 2022 opgestart. Drie campagnes zijn nog aan de gang bij de publicatie van dit persbericht. In meerdere stappen installeren ze een Android-spyware, door ESET AridSpy genoemd, die vanaf de Command & Control (C&C)-server payloads in twee stappen downloadt om detectie te voorkomen. De malware wordt verspreid via speciale sites die zich voordoen als berichtenapps, een app voor vacatures en een Palestijnse app voor de burgerlijke stand. ESET Research detecteerde AridSpy, de op afstand bestuurbare Trojaan die zich in Palestina en Egypte richt op het stelen van gebruikersgegevens.
Arid Viper, ook bekend als APT-C-23, Desert Falcons of Two-tailed Scorpion, is een cyberspionagegroep die zich richt op landen in het Midden-Oosten. De groep trok door de jaren heen de aandacht door zijn enorme arsenaal aan malware voor Android-, iOS- en Windows-platformen.
Drie kwaadaardige apps, aangeboden door nabootsingswebsites, zijn legitieme apps die geïnfecteerd werden met AridSpy-spyware. Ze werden nooit op Google Play aangeboden en worden enkel gedownload van sites van derden. Om ze te installeren moet het potentiële slachtoffer de Android-optie inschakelen die toelaat om apps van onbekende bronnen te installeren. In Palestina was het merendeel van de spyware bestemd voor de kwaadaardige Burgerlijke Stand-app.
“Om een eerste toegang te hebben tot het toestel, proberen de bedreigingsactoren hun potentiële slachtoffer ervan te overtuigen een nep,maar werkende, app te installeren. Als het doelwit op de downloadknop myScript.js van de site klikt, die op dezelfde server wordt gehost, wordt het juiste downloadpad voor het kwaadaardige bestand gegenereerd en uitgevoerd”, zegt Lukáš Štefanko, de ESET-onderzoeker die AridSpy heeft ontdekt.
Een van de campagnes omvatte LapizaChat, een kwaadaardige Android-berichtenapp met getrojaniseerde versies van StealthChat: Private Messaging gebundeld met kwaadaardige AridSpy-code. ESET identificeerde twee andere campagnes die AridSpy na LapizaChat begonnen te distribueren en die zich voordeden als de berichtenapps NortirChat en ReblyChat. NortirChat is gebaseerd op Session, de legitieme berichten-app. ReblyChat is gebaseerd op de legitieme Voxer Walkie Talkie Messenger.
De Palestijnse Burgerlijke Stand-app is geïnspireerd op een app die eerder beschikbaar was op Google Play. Volgens het ESET-onderzoek is de kwaadaardige app die online beschikbaar is, geen trojaanversie van de app op Google Play. Wel gebruikt het de legitieme server van deze app om informatie op te halen. Arid Viper liet zich daarom inspireren door de functionaliteiten van deze app, maar creëerde een eigen cliënt die met de legitieme server communiceert. Arid Viper heeft waarschijnlijk de legitieme Android-app op Google Play reverse-gëngineered alsook de server om de gegevens van de slachtoffers te scrapen. In de nieuwste door ESET geïdentificeerde campagne wordt AridSpy verspreidt als een vacature-app.
AridSpy heeft een functie om netwerkdetectie te voorkomen, meer bepaald C&C-communicatie. Het kan zichzelf uitschakelen, zoals AridSpy in de code aangeeft. Gegevens-exfiltratie begint door het ontvangen van een opdracht van de Firebase C&C-server of als een specifiek gedefinieerde actie geactiveerd wordt. Deze acties omvatten wijzigingen in de internetverbinding, het installeren of verwijderen van een app, het maken of ontvangen van een telefoongesprek, het verzenden of ontvangen van sms-berichten, het aansluiten of loskoppelen van een batterijlader, of wanneer het toestel opnieuw wordt opgestart.
Doet een van deze gebeurtenissen zich voor, dan verzamelt AridSpy verschillende slachtoffergegevens en uploadt deze op de C&C-exfiltratieserver. Het verzamelt de locatie van het toestel; contactlijsten; oproeplogboeken; tekstberichten; thumbnails van opgenomen foto’s en video’s; opgenomen telefoongesprekken; audio-opnames van de omgeving; foto’s gemaakt door malware; WhatsApp-databases met uitgewisselde berichten en gebruikerscontacten; bladwijzers en zoekgeschiedenis van de standaardbrowser en van Chrome-, Samsung Browser- en Firefox-apps, indien geïnstalleerd; bestanden van de externe opslag; Facebook Messenger en WhatsApp-communicatie; en alle ontvangen meldingen.
Lees, voor meer informatie over AridSpy, de blog “Arid Viper poisons Android apps with AridSpy.” Voor het laatste nieuws over ESET Research volgt u ESET Research on Twitter (today known as X)
OVER ESET
ESET® biedt geavanceerde digitale beveiliging om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen een stap voor, zodat bedrijven, kritieke infrastructuur en individuen beveiligd zijn. Gaat het om endpoint-, cloud- of mobiele bescherming, de ESET AI-native, cloud-first oplossingen en diensten blijven zeer efficiënt en gebruiksvriendelijk. De technologie van ESET biedt robuuste detectie en respons, ultraveilige encryptie en meervoudige authenticatie.
De 24/7 realtime verdediging en sterke lokale ondersteuning zorgt ervoor dat gebruikers veilig zijn en dat bedrijven zonder onderbrekingen kunnen blijven draaien. Een digitaal landschap in constante evolutie vereist een progressieve benadering van de beveiliging: ESET zet zich in voor onderzoek van wereldklasse en krachtige informatie over dreigingen, ondersteund door R&D-centra en een sterk partnernetwerk op wereldvlak. Ga voor meer informatie naar www.eset.com. of volg ons op LinkedIn, Facebook, X en https://www.est.com/be-nl/
Read more