AridSpy モバイル マルウェア
AridViper として知られるサイバー脅威グループは、トロイの木馬化された Android アプリケーションを使用して AridSpy というスパイウェアの亜種を配布する一連のモバイル スパイ活動の背後にいます。これらの脅威的なアプリケーションは、正規のメッセージング アプリ、求人検索プラットフォーム、さらにはパレスチナの市民登録アプリケーションを装った偽の Web サイトでホストされています。多くの場合、正規のアプリケーションは AridSpy の不正なコードを統合することで侵害されます。
目次
AridViperはモバイルマルウェアの脅威として長い歴史を持つ
Arid Viper は、 APT-C-23 、Desert Falcon、Grey Karkadann、Mantis、Two-tailed Scorpion とも呼ばれ、ハマスと関係があると考えられています。2017 年に出現して以来、このグループは一貫してモバイル マルウェアを活動に利用してきました。これまで Arid Viper は中東の軍人、ジャーナリスト、反体制派を標的にしてきました。このグループは引き続き活動を続けており、モバイル マルウェア分野で脅威を与え続けています。
最近の活動は 2022 年から継続しており、最大 5 つのキャンペーンで構成されています。現在、これらのキャンペーンのうち 3 つが引き続きアクティブです。
AridSpy は脅威アクターが作成した偽のモバイル アプリケーションを介して拡散します
AridSpy の最新版を分析すると、最初のトロイの木馬化されたアプリケーションを通じてコマンド アンド コントロール (C2) サーバーから追加のペイロードをダウンロードできる多段階のトロイの木馬に進化していることが明らかになりました。この攻撃は主にパレスチナとエジプトのユーザーをターゲットにしており、偽の Web サイトを侵害されたアプリケーションの配布ポイントとして利用しています。
これらの不正なアプリケーションは、多くの場合、LapizaChat、NortirChat、ReblyChat などの安全なメッセージング サービスになりすまし、StealthChat、Session、Voxer Walkie Talkie Messenger などの正当なプラットフォームを模倣しています。さらに、別のアプリはパレスチナの民事登録簿になりすましています。
これらのウェブサイトの1つであるpalcivilreg.comは、2023年5月30日に登録され、179人のフォロワーがいる専用のFacebookページを通じて宣伝されています。このウェブサイトで提供されているアプリは、Google Playストアにある同様の名前のアプリをモデルにしています。
palcivilreg.com 上の脅威的なアプリケーションは、Google Play ストア版の直接的なコピーではありませんが、正規アプリのサーバーを利用してデータを収集します。これは、Arid Viper が正規アプリの機能からヒントを得て、本物のサーバーとやり取りするために独自のクライアント レイヤーを開発したことを示しています。
AridSpy モバイル マルウェアの攻撃チェーン
インストールされると、悪意のあるアプリケーションは、事前に定義されたリストに基づいてデバイス上のセキュリティ ソフトウェアをスキャンします。何も見つからない場合は、Google Play サービスのアップデートを装った第 1 段階のペイロードのダウンロードに進みます。
このペイロードは独立して動作し、トロイの木馬化されたアプリケーションが同じデバイス上に存在している必要はありません。したがって、LapizaChat などの最初のトロイの木馬化されたアプリケーションをアンインストールしても、AridSpy には影響しません。第 1 段階のペイロードの主な機能は、有害な機能を含み、コマンド アンド コントロール (C2) の目的で Firebase ドメインと通信する次の段階のコンポーネントをダウンロードすることです。
このマルウェアには、感染したデバイスからデータを抽出するためのさまざまなコマンドが備わっており、モバイル データ プランに接続すると、自身を非アクティブ化したり、データの流出を開始したりできます。データの抽出は、特定のコマンドまたはトリガーされたイベントを通じて行われます。
たとえば、被害者が携帯電話をロックまたはロック解除すると、AridSpy はフロント カメラを使用して写真を撮影し、それを流出 C&C サーバーに送信します。ただし、最後の写真が撮影されてから 40 分以上経過し、バッテリー レベルが 15% を超える場合にのみ、画像がキャプチャされます。
