Malware móvil AridSpy
El grupo de amenazas cibernéticas conocido como AridViper está detrás de una serie de operaciones de espionaje móvil que emplean aplicaciones troyanizadas de Android para distribuir una variante de software espía llamada AridSpy. Estas aplicaciones amenazadoras están alojadas en sitios web engañosos que se hacen pasar por aplicaciones de mensajería legítimas, una plataforma de búsqueda de empleo e incluso una aplicación del Registro Civil Palestino. En muchos casos, las aplicaciones legítimas se ven comprometidas al integrar el código incorrecto de AridSpy.
Tabla de contenido
AridViper tiene una larga historia de amenazas de malware móvil
Se cree que Arid Viper, también conocida como APT-C-23 , Desert Falcon, Gray Karkadann, Mantis y Two-tailed Scorpion, está asociada con Hamás. Desde su aparición en 2017, este grupo ha utilizado constantemente malware móvil para sus operaciones. Históricamente, Arid Viper ha apuntado a personal militar, periodistas y disidentes en el Medio Oriente. El grupo persiste activo y continúa representando una amenaza en el dominio del malware móvil.
Las actividades más recientes han estado en curso desde 2022 y comprenden hasta cinco campañas distintas. Actualmente, tres de estas campañas permanecen activas.
AridSpy se propaga a través de aplicaciones móviles falsas creadas por actores de amenazas
El análisis de la última versión de AridSpy revela su evolución hacia un troyano de varias etapas capaz de descargar cargas útiles adicionales desde un servidor de comando y control (C2) a través de la aplicación troyanizada inicial. El ataque se dirige principalmente a usuarios de Palestina y Egipto y utiliza sitios web falsos como puntos de distribución de las aplicaciones comprometidas.
Estas aplicaciones engañosas a menudo se hacen pasar por servicios de mensajería seguros como LapizaChat, NortirChat y ReblyChat, imitando plataformas legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger. Además, otra aplicación se hace pasar por el Registro Civil Palestino.
Uno de estos sitios web, palcivilreg.com, registrado el 30 de mayo de 2023, se promociona a través de una página específica de Facebook con 179 seguidores. La aplicación que se ofrece en este sitio web sigue el modelo de una aplicación con un nombre similar que se encuentra en Google Play Store.
Aunque la aplicación amenazante en palcivilreg.com no es una copia directa de la versión de Google Play Store, utiliza el servidor de la aplicación legítima para recopilar datos. Esto indica que Arid Viper se inspiró en la funcionalidad de la aplicación legítima pero desarrolló su propia capa de cliente para interactuar con el servidor genuino.
Cadena de ataque del malware móvil AridSpy
Tras la instalación, la aplicación maliciosa busca software de seguridad en el dispositivo según una lista predefinida. Si no encuentra ninguno, procede a descargar una carga útil de primera etapa, que se hace pasar por una actualización para los servicios de Google Play.
Esta carga útil funciona de forma independiente y no requiere la presencia de la aplicación troyanizada en el mismo dispositivo. Por lo tanto, desinstalar la aplicación troyanizada inicial, como LapizaChat, no afecta a AridSpy. La función principal de la carga útil de la primera etapa es descargar el componente de la siguiente etapa, que contiene funcionalidades dañinas y se comunica con un dominio de Firebase para fines de comando y control (C2).
El malware está equipado con varios comandos para extraer datos de los dispositivos infectados y puede desactivarse o iniciar la extracción de datos cuando se conecta a un plan de datos móviles. La extracción de datos se produce mediante comandos específicos o eventos desencadenados.
Por ejemplo, cuando la víctima bloquea o desbloquea el teléfono, AridSpy captura una imagen usando la cámara frontal y la envía al servidor C&C de exfiltración. Sin embargo, las imágenes sólo se capturan si han pasado más de 40 minutos desde que se tomó la última fotografía y el nivel de la batería está por encima del 15%.
