De dreigingsactor die bekend staat als Arid Viper (ook bekend als APT-C-23, Desert Falcon of TAG-63) wordt toegeschreven als verantwoordelijke voor een Android-spywarecampagne die zich richt op Arabischsprekende gebruikers met een nagemaakte dating-app die is ontworpen om gegevens van geïnfecteerde handsets te verzamelen.
“De Android-malware van Arid Viper heeft een aantal functies waarmee operators heimelijk gevoelige informatie van de apparaten van slachtoffers kunnen verzamelen en extra uitvoerbare bestanden kunnen implementeren”, aldus Cisco Talos in een rapport van dinsdag.
Arid Viper is actief sinds minstens 2017 en is een cyberspionage die banden heeft met Hamas, een islamitische militante beweging die de Gazastrook regeert. Het cyberbeveiligingsbedrijf zei dat er geen bewijs is dat de campagne in verband staat met de aanhoudende oorlog tussen Israël en Hamas.
Aangenomen wordt dat de activiteit niet eerder dan april 2022 is begonnen.
Interessant is dat de mobiele malware gelijkenissen vertoont met de broncode van een niet-kwaadaardige online datingapplicatie genaamd Skipped, wat erop wijst dat de operators ofwel gelinkt zijn aan de ontwikkelaar van laatstgenoemde, ofwel erin zijn geslaagd de functies ervan te kopiëren in een poging tot misleiding.
Het gebruik van ogenschijnlijk goedaardige chatapplicaties om malware te verspreiden is “in lijn met de ‘honingval’-tactiek die Arid Viper in het verleden gebruikte”, waarbij zijn toevlucht werd genomen tot het gebruik van nepprofielen op sociale-mediaplatforms om potentiële doelwitten te misleiden om deze te installeren.
Cisco Talos zei dat het ook een uitgebreid web van bedrijven heeft geïdentificeerd die applicaties met een datingthema maken die vergelijkbaar of identiek zijn aan Skipped en die kunnen worden gedownload van de officiële appstores voor Android en iOS.
- VIVIO – Chat, flirt en daten (beschikbaar in de Apple App Store)
- Ontmoet (voorheen Joostly) – Flirt, Chat & Dating (beschikbaar in de Apple App Store)
- OVERSLAAN – Chatten, matchen en daten (50.000 downloads in Google Play Store)
- Joostly – Dating-app! Singles (10.000 downloads op Google Play)
De reeks gesimuleerde datingapplicaties heeft de mogelijkheid vergroot dat “Arid Viper-operators deze aanvullende applicaties kunnen proberen te gebruiken in toekomstige kwaadaardige campagnes”, aldus het bedrijf.
Eenmaal geïnstalleerd, verbergt de malware zichzelf op de computer van het slachtoffer door systeem- of beveiligingsmeldingen van het besturingssysteem uit te schakelen en schakelt ook meldingen uit op mobiele apparaten van Samsung en op elke Android-telefoon met de APK-pakketnaam die het woord ‘beveiliging’ bevat waaronder kan vliegen de radar.
Het is ook ontworpen om opdringerige toestemmingen te vragen voor het opnemen van audio en video, het lezen van contacten, toegang tot oproeplogboeken, het onderscheppen van sms-berichten, het wijzigen van Wi-Fi-instellingen, het beëindigen van achtergrondapps, het maken van foto’s en het creëren van systeemwaarschuwingen.
Andere opmerkelijke kenmerken van het implantaat zijn onder meer de mogelijkheid om systeeminformatie op te halen, een bijgewerkt command-and-control (C2)-domein van de huidige C2-server te verkrijgen en extra malware te downloaden, die wordt gecamoufleerd als legitieme apps zoals Facebook Messenger. Instagram en WhatsApp.
De ontwikkeling komt op het moment dat Recorded Future tekenen onthulde die Arid Viper mogelijk met Hamas verbinden via overlappingen in de infrastructuur die verband houden met een Android-applicatie genaamd Al Qassam die is verspreid in een Telegram-kanaal dat beweert banden te hebben met Izz ad-Din al-Qassam Brigades, de militaire vleugel van Hamas.
“Ze tonen niet alleen een mogelijke slip in de operationele veiligheid, maar ook het eigendom van de infrastructuur die door groepen wordt gedeeld”, aldus het bedrijf. “Een mogelijke hypothese om deze observatie te verklaren is dat TAG-63 infrastructuurbronnen deelt met de rest van de Hamas-organisatie.”
