×
ItalianoEnglish

Grandangolo Communications

  • Home
  • Company
  • Servizi
    • Public Relation
    • Digital PR
    • Marketing
    • Lead Generation
    • Eventi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages
  • Home
  • Customer Press Room
  • Eset
  • ESET: il gruppo Arid Viper prende nuovamente di mira il Medio Oriente, infettando app palestinesi con lo spyware AridSpy

Customer Press Room

ESET: il gruppo Arid Viper prende nuovamente di mira il Medio Oriente, infettando app palestinesi con lo spyware AridSpy

da grandangolo / lunedì, 01 Luglio 2024 / Pubblicato il Eset

AridSpy è un malware Android multilivello distribuito tramite 5 siti web dedicati. Rilevata la sua presenza sia in Palestina che in Egitto. Si tratta di un trojan controllato da remoto per la raccolta dei dati dell’utente, in grado di esfiltrare contenuti dal dispositivo

I ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, hanno identificato cinque campagne che utilizzano app contenenti trojan per colpire gli utenti Android. Molto probabilmente condotte dal gruppo APT Arid Viper, queste campagne sono iniziate nel 2022 e tre di esse sono ancora in corso al momento della pubblicazione di questo comunicato stampa. Utilizzano uno spyware Android multistadio, che ESET ha denominato AridSpy, che scarica payload di primo e secondo livello dal proprio server di command & control (C&C) per permettergli di eludere il rilevamento. Il malware viene distribuito attraverso siti web dedicati che imitano varie app di messaggistica, un’app di offerte di lavoro e un’app del Registro Civile Palestinese.  In genere, si tratta di app esistenti contenenti trojan con l’aggiunta del codice maligno di AridSpy. ESET Research ha rilevato il trojan AridSpy, controllato da remoto e focalizzato sullo spionaggio dei dati degli utenti, in Palestina e in Egitto.

Arid Viper, detto anche APT-C-23, Desert Falcons o Two-tailed Scorpion, è un gruppo di cyberspionaggio noto per aver colpito i paesi del Medio Oriente; il gruppo ha attirato l’attenzione nel corso degli anni per l’ampia gamma di malware per piattaforme Android, iOS e Windows.

Tre app compromesse distribuite tramite siti web contraffatti, sono app legittime affette da trojan con lo spyware AridSpy. Queste app dannose non sono mai state diffuse tramite Google Play e sono scaricabili esclusivamente da siti di terze parti. Per installare queste app, la potenziale vittima deve abilitare l’opzione non predefinita di Android per l’installazione di app da fonti sconosciute. La maggior parte dei casi di spyware registrati in Palestina riguardava l’app dannosa del Palestinian Civil Registry.

“Per ottenere l’accesso iniziale al dispositivo, gli attori delle minacce cercano di convincere la potenziale vittima a installare un’app falsa, ma funzionante. Una volta che l’utente clicca sul pulsante di download del sito, myScript.js, ospitato sullo stesso server, viene eseguito per generare il percorso di download corretto per il file dannoso”, spiega Lukáš Štefanko, ricercatore ESET che ha scoperto AridSpy, descrivendo il modo in cui gli utenti vengono infettati.

Una delle campagne includeva LapizaChat, un’app di messaggistica Android dannosa con versioni affette da trojan di StealthChat: Private Messaging in bundle con il codice maligno di AridSpy. ESET ha identificato altre due campagne che hanno iniziato a distribuire AridSpy dopo LapizaChat, questa volta presentandosi come app di messaggistica chiamate NortirChat e ReblyChat. NortirChat si basa sull’app di messaggistica legittima Session, mentre ReblyChat si basa su Voxer Walkie Talkie Messenger.

D’altro canto, l’app Palestinian Civil Registry si ispira a un’app già disponibile su Google Play. In base alle indagini dei ricercatori di ESET, l’app dannosa disponibile online non è una versione affetta da trojan dell’app presente su Google Play, ma utilizza il server legittimo dell’app per recuperare le informazioni. Ciò significa che Arid Viper si è ispirata alle funzionalità dell’app, ma ha creato un proprio livello client che comunica con il server legittimo. Molto probabilmente, Arid Viper ha effettuato il reverse engineering dell’app Android legittima da Google Play e ha utilizzato il suo server per recuperare i dati delle vittime. L’ultima campagna individuata da ESET distribuisce AridSpy come app di offerte di lavoro.

AridSpy dispone di una funzione volta a evitare il rilevamento della rete, in particolare la comunicazione C&C. Può disattivarsi, come indicato nel codice di AridSpy. L’esfiltrazione dei dati viene avviata sia tramite ricezione di un comando dal server C&C di Firebase sia con l’attivazione di un evento specifico. Questi eventi includono la modifica della connettività Internet, l’installazione o la disinstallazione dell’app, l’effettuazione o la ricezione di una telefonata, l’invio o la ricezione di un messaggio SMS, la connessione o la disconnessione del caricabatterie o il riavvio del dispositivo.

Se si verifica uno di questi eventi, AridSpy inizia a raccogliere dati della vittima e li carica sul server di esfiltrazione C&C. Può raccogliere la posizione del dispositivo, gli elenchi dei contatti, i registri delle chiamate, i messaggi di testo, le miniature delle foto e dei video registrati, le telefonate registrate, l’audio ambientale registrato, le foto scattate dal malware, i database di WhatsApp contenenti i messaggi e i contatti dell’utente, i segnalibri e la cronologia delle ricerche dal browser predefinito e dalle app Chrome, Samsung Browser e Firefox, se installate, i file dalla memoria esterna, le comunicazioni di Facebook Messenger e WhatsApp e tutte le notifiche ricevute, tra le altre cose.

Per ulteriori informazioni tecniche su AridSpy, consultare il post del blog “Arid Viper poisons Android apps with AridSpy”.

Taggato in: Arid Viper, Eset

Su grandangolo

Che altro puoi leggere

ESET Mobile Security per un ritorno in classe in sicurezza
ESET inclusa tra gli esperti intervistati nel report sulle best practice in ambito Threat Intelligence di Forrester
ESET Threat Report: calo degli attacchi RDP e riduzione dell’impatto dei malware collegati al conflitto Russia-Ucraina

Customer Press Room

  • Acronis ESG Report 2024: crescita sostenibile, leadership nella Cyber Security e responsabilità sociale

    Obiettivi a lungo termine e iniziative per raff...
  • Red Hot Cyber organizza a Roma la 4° edizione della conferenza gratuita sulla Sicurezza Informatica e le Tecnologie Digitali

    L’obiettivo è far avvicinare i giovani ai...
  • ESET inclusa tra gli esperti intervistati nel report sulle best practice in ambito Threat Intelligence di Forrester

    Le soluzioni ESET Threat Intelligence (ETI) son...
  • Con il programma #TeamUp di Acronis, rinnovata la partnership con PREMA Racing e il distributore LEADER per il Gran Premio d’Australia 2025

    Le soluzioni di Acronis Cyber Protection sono a...
  • Vertiv presenta un nuovo sistema di dissipazione del calore flessibile e ad alta densità, che supporta il raffreddamento ibrido a liquido e ad aria per le applicazioni di AI

    Vertiv™ CoolLoop Trim Cooler è una soluz...

Archivi

  • Marzo 2025
  • Febbraio 2025
  • Gennaio 2025
  • Dicembre 2024
  • Novembre 2024
  • Ottobre 2024
  • Settembre 2024
  • Agosto 2024
  • Luglio 2024
  • Giugno 2024
  • Maggio 2024
  • Aprile 2024
  • Marzo 2024
  • Febbraio 2024
  • Gennaio 2024
  • Dicembre 2023
  • Novembre 2023
  • Ottobre 2023
  • Settembre 2023
  • Agosto 2023
  • Luglio 2023
  • Giugno 2023
  • Maggio 2023
  • Aprile 2023
  • Marzo 2023
  • Febbraio 2023
  • Gennaio 2023
  • Dicembre 2022
  • Novembre 2022
  • Ottobre 2022
  • Settembre 2022
  • Agosto 2022
  • Luglio 2022
  • Giugno 2022
  • Maggio 2022
  • Aprile 2022
  • Marzo 2022
  • Febbraio 2022
  • Gennaio 2022
  • Dicembre 2021
  • Novembre 2021
  • Ottobre 2021
  • Settembre 2021
  • Agosto 2021
  • Luglio 2021
  • Giugno 2021
  • Maggio 2021
  • Aprile 2021
  • Marzo 2021
  • Febbraio 2021
  • Gennaio 2021
  • Dicembre 2020
  • Novembre 2020
  • Ottobre 2020
  • Settembre 2020
  • Agosto 2020
  • Luglio 2020
  • Giugno 2020
  • Maggio 2020
  • Aprile 2020
  • Marzo 2020
  • Febbraio 2020
  • Gennaio 2020
  • Dicembre 2019
  • Novembre 2019
  • Ottobre 2019
  • Settembre 2019
  • Agosto 2019
  • Luglio 2019
  • Giugno 2019
  • Maggio 2019
  • Aprile 2019
  • Marzo 2019
  • Febbraio 2019
  • Gennaio 2019
  • Dicembre 2018

Categorie

  • A10
  • Abstract
  • abstract
  • Acronis
  • Ally Consulting
  • Arrow
  • Arrow Electronics
  • Axiante
  • Babel
  • Centro Computer
  • Cohesity
  • Consorzio Italia Cloud
  • Consys
  • D-Link
  • Eset
  • G.B. Service
  • Habble
  • HiSolution
  • HYCU
  • Icos
  • Information Tecnology
  • Ivanti
  • Link11
  • MobileIron
  • Netalia
  • Nethive
  • Nexthink
  • Nuvias
  • Praim
  • QAD
  • Qualys
  • Red Hot Cyber
  • Riverbed
  • Saviynt
  • Sensormatic
  • SentinelOne
  • Talentia Software
  • Vectra
  • Vectra AI
  • Vertiv

Ufficio stampa, digital PR, marketing, lead generation: tutti i progetti nascono dalla nostra passione e competenza, con un tocco immancabile di creatività e innovazione.

COMPANY

Grandangolo Communications Srl
Via Sardegna 19
20146 Milano
Telefono +39 335 8283393
info@grandangolo.it

I SERVIZI

  • Home
  • Company
  • Servizi
  • Best Practice
  • Customer Press Room
  • Contatti
  • Languages

CONTATTI

  • Contatti
  • Cookie policy
  • Privacy policy

© 2019 GRANDANGOLO COMMUNICATIONS SRL | P.IVA IT 06394850967 | All rights reserveD.

Powered by Webpowerplus

TORNA SU