AridSpy è un malware Android multilivello distribuito tramite 5 siti web dedicati. Rilevata la sua presenza sia in Palestina che in Egitto. Si tratta di un trojan controllato da remoto per la raccolta dei dati dell’utente, in grado di esfiltrare contenuti dal dispositivo
Researchers of ESET, leader europeo globale nel mercato della cybersecurity, hanno identificato cinque campagne che utilizzano app contenenti trojan per colpire gli utenti Android. Molto probabilmente condotte dal gruppo APT Arid Viper, queste campagne sono iniziate nel 2022 e tre di esse sono ancora in corso al momento della pubblicazione di questo comunicato stampa. Utilizzano uno spyware Android multistadio, che ESET ha denominato AridSpy, che scarica payload di primo e secondo livello dal proprio server di command & control (C&C) per permettergli di eludere il rilevamento. Il malware viene distribuito attraverso siti web dedicati che imitano varie app di messaggistica, un’app di offerte di lavoro e un’app del Registro Civile Palestinese. In genere, si tratta di app esistenti contenenti trojan con l’aggiunta del codice maligno di AridSpy. ESET Research ha rilevato il trojan AridSpy, controllato da remoto e focalizzato sullo spionaggio dei dati degli utenti, in Palestina e in Egitto.
Arid Viper, detto anche APT-C-23, Desert Falcons o Two-tailed Scorpion, è un gruppo di cyberspionaggio noto per aver colpito i paesi del Medio Oriente; il gruppo ha attirato l’attenzione nel corso degli anni per l’ampia gamma di malware per piattaforme Android, iOS e Windows.
Tre app compromesse distribuite tramite siti web contraffatti, sono app legittime affette da trojan con lo spyware AridSpy. Queste app dannose non sono mai state diffuse tramite Google Play e sono scaricabili esclusivamente da siti di terze parti. Per installare queste app, la potenziale vittima deve abilitare l’opzione non predefinita di Android per l’installazione di app da fonti sconosciute. La maggior parte dei casi di spyware registrati in Palestina riguardava l’app dannosa del Palestinian Civil Registry.
“Per ottenere l’accesso iniziale al dispositivo, gli attori delle minacce cercano di convincere la potenziale vittima a installare un’app falsa, ma funzionante. Una volta che l’utente clicca sul pulsante di download del sito, myScript.js, ospitato sullo stesso server, viene eseguito per generare il percorso di download corretto per il file dannoso”, spiega Lukáš Štefanko, ESET researcher che ha scoperto AridSpy, descrivendo il modo in cui gli utenti vengono infettati.
Una delle campagne includeva LapizaChat, un’app di messaggistica Android dannosa con versioni affette da trojan di StealthChat: Private Messaging in bundle con il codice maligno di AridSpy. ESET ha identificato altre due campagne che hanno iniziato a distribuire AridSpy dopo LapizaChat, questa volta presentandosi come app di messaggistica chiamate NortirChat e ReblyChat. NortirChat si basa sull’app di messaggistica legittima Session, mentre ReblyChat si basa su Voxer Walkie Talkie Messenger.
D’altro canto, l’app Palestinian Civil Registry si ispira a un’app già disponibile su Google Play. In base alle indagini dei ricercatori di ESET, l’app dannosa disponibile online non è una versione affetta da trojan dell’app presente su Google Play, ma utilizza il server legittimo dell’app per recuperare le informazioni. Ciò significa che Arid Viper si è ispirata alle funzionalità dell’app, ma ha creato un proprio livello client che comunica con il server legittimo. Molto probabilmente, Arid Viper ha effettuato il reverse engineering dell’app Android legittima da Google Play e ha utilizzato il suo server per recuperare i dati delle vittime. L’ultima campagna individuata da ESET distribuisce AridSpy come app di offerte di lavoro.
AridSpy dispone di una funzione volta a evitare il rilevamento della rete, in particolare la comunicazione C&C. Può disattivarsi, come indicato nel codice di AridSpy. L’esfiltrazione dei dati viene avviata sia tramite ricezione di un comando dal server C&C di Firebase sia con l’attivazione di un evento specifico. Questi eventi includono la modifica della connettività Internet, l’installazione o la disinstallazione dell’app, l’effettuazione o la ricezione di una telefonata, l’invio o la ricezione di un messaggio SMS, la connessione o la disconnessione del caricabatterie o il riavvio del dispositivo.
Se si verifica uno di questi eventi, AridSpy inizia a raccogliere dati della vittima e li carica sul server di esfiltrazione C&C. Può raccogliere la posizione del dispositivo, gli elenchi dei contatti, i registri delle chiamate, i messaggi di testo, le miniature delle foto e dei video registrati, le telefonate registrate, l’audio ambientale registrato, le foto scattate dal malware, i database di WhatsApp contenenti i messaggi e i contatti dell’utente, i segnalibri e la cronologia delle ricerche dal browser predefinito e dalle app Chrome, Samsung Browser e Firefox, se installate, i file dalla memoria esterna, le comunicazioni di Facebook Messenger e WhatsApp e tutte le notifiche ricevute, tra le altre cose.
Per ulteriori informazioni tecniche su AridSpy, consultare il post del blog “Arid Viper poisons Android apps with AridSpy”.
