De bedreigingsacteur bekend als Dorre Adder wordt toegeschreven aan een mobiele spionagecampagne die getrojaniseerde Android-apps gebruikt om een spywaresoort te leveren genaamd AridSpy.
“De malware wordt verspreid via speciale websites die zich voordoen als verschillende berichten-apps, een app voor vacatures en een app voor de Palestijnse Burgerlijke Stand”, zegt ESET-onderzoeker Lukáš Štefanko in een vandaag gepubliceerd rapport. “Vaak zijn dit bestaande applicaties die zijn getrojaniseerd door de toevoeging van de kwaadaardige code van AridSpy.”
Er wordt gezegd dat de activiteit sinds 2022 maar liefst vijf campagnes omvatte, waarbij eerdere varianten van AridSpy werden gedocumenteerd door Zimperium en 360 Beacon Labs. Drie van de vijf campagnes zijn nog steeds actief.
Arid Viper, een vermoedelijk aan Hamas gelieerde acteur die ook wel APT-C-23, Desert Falcon, Gray Karkadann, Mantis en Two-tailed Scorpion wordt genoemd, heeft een lange staat van dienst in het gebruik van mobiele malware sinds de opkomst ervan in 2017.
“Arid Viper heeft zich historisch gezien gericht op militair personeel in het Midden-Oosten, maar ook op journalisten en dissidenten”, merkte SentinelOne eind vorig jaar op, en voegde eraan toe dat de groep “blijft floreren op het gebied van mobiele malware.”
ESET's analyse van de nieuwste versie van AridSpy laat zien dat deze is getransformeerd in een meertraps trojan die extra payloads kan downloaden van een command-and-control (C2) server door de initiële, getrojaniseerde app.
De aanvalsketens richten zich voornamelijk op gebruikers in Palestina en Egypte via valse sites die fungeren als distributiepunten voor de met boobytraps beveiligde apps.
Sommige van de nep-maar-functionele apps beweren veilige berichtendiensten te zijn, zoals LapizaChat, NortirChat en ReblyChat, die elk gebaseerd zijn op legitieme apps zoals StealthChat, Session en Voxer Walkie Talkie Messenger, terwijl een andere app beweert afkomstig te zijn van de Palestijnse Burgerlijke Stand.
Er werd ook reclame gemaakt voor de website van de Palestijnse Burgerlijke Stand (“palcivilreg(.)com”), die op 30 mei 2023 werd geregistreerd, via een speciale Facebook-pagina met 179 volgers. De app die via de website wordt uitgedragen is geïnspireerd op een gelijknamige app die beschikbaar is in de Google Play Store.
“De kwaadaardige app die beschikbaar is op palcivilreg(.)com is geen trojanversie van de app op Google Play, maar gebruikt wel de legitieme server van die app om informatie op te halen”, aldus Štefanko. “Dit betekent dat Arid Viper werd geïnspireerd door de functionaliteit van die app, maar een eigen clientlaag creëerde die communiceert met de legitieme server.”
ESET zei verder te hebben ontdekt dat AridSpy wordt verspreid onder het mom van een vacature-app vanaf een website (“almoshell(.)website”) geregistreerd in augustus 2023. Een opmerkelijk aspect van de app is dat deze niet gebaseerd is op een legitieme app.
Bij de installatie controleert de kwaadaardige app op de aanwezigheid van beveiligingssoftware aan de hand van een hardgecodeerde lijst, en gaat vervolgens verder met het downloaden van een eerste fase-payload als geen van deze op het apparaat is geïnstalleerd. De payload imiteert een update van Google Play Services.
“Deze payload werkt afzonderlijk, zonder dat de getrojaniseerde app op hetzelfde apparaat hoeft te worden geïnstalleerd”, legt Štefanko uit. “Dit betekent dat als het slachtoffer de initiële trojan-app verwijdert, bijvoorbeeld LapizaChat, AridSpy op geen enkele manier wordt beïnvloed.”
De hoofdverantwoordelijkheid van de eerste fase is het downloaden van de component van de volgende fase, die de kwaadaardige functionaliteit herbergt en gebruik maakt van een Firebase-domein voor C2-doeleinden.
De malware ondersteunt een breed scala aan opdrachten om gegevens van de apparaten te verzamelen en kan zichzelf zelfs deactiveren of exfiltratie uitvoeren wanneer u een mobiel data-abonnement gebruikt. Gegevensexfiltratie wordt geïnitieerd door middel van een commando of wanneer een specifiek gedefinieerde gebeurtenis wordt geactiveerd.
“Als het slachtoffer de telefoon vergrendelt of ontgrendelt, maakt AridSpy een foto met de camera aan de voorkant en stuurt deze naar de exfiltratie-C&C-server”, zei Štefanko. “Er worden alleen foto's gemaakt als het meer dan 40 minuten geleden is dat de laatste foto werd gemaakt en het batterijniveau hoger is dan 15%.”
