Forscher des IT-Sicherheitsherstellers ESET haben eine Android-Malware namens AridSpy entdeckt. Die Spyware kann Messaging-Apps überwachen und sensible Inhalte vom Gerät stehlen. Sie kam in fünf Hacking-Kampagnen zum Einsatz. Ziel der Hacker sind Benutzerdaten von den Geräten ihrer Opfer. Die Schadsoftware wurde sowohl in Palästina als auch in Ägypten gefunden und der Arid Viper APT-Gruppe zugeordnet. AridSpy ist 2022 zum ersten Mal in Aktion getreten und zum Teil noch aktiv. Der ferngesteuerte Trojaner wurde über fünf spezielle Webseiten verbreitet und tarnte sich oftmals als legitime, funktionstüchtige Apps.
„Besonders gemein an der Schadsoftware ist ihre Tarnfähigkeit“, erklärt ESET Forscher Lukáš Štefanko, der AridSpy entdeckt hat. „AridSpy kann sich deaktivieren, um eine Netzwerkerkennung zu vermeiden und lädt zudem seine Nutzdaten von einem Command & Control Server herunter, um einer Entdeckung zu entgehen.“
AridSpy: Spionage-Software mit weitreichenden Möglichkeiten
AridSpy sammelt verschiedene Daten, darunter Gerätestandort, Kontaktlisten, Anrufprotokolle, Textnachrichten, Fotos, Videos und aufgezeichnete Telefonanrufe. Darüber hinaus kann die Spyware auf die Kamera zugreifen, um Fotos zu erstellen und an die Hacker weiterleiten. Zudem erfasst sie WhatsApp-Datenbanken, Lesezeichen, Suchverläufe und Dateien aus dem externen Speicher.
Ziel der Hacker: Nutzerdaten aus Ägypten und Palästina
Fünf Kampagnen starteten 2022, drei sind immer noch aktiv. Jede startet mit dem Versuch, die Opfer zur Installation einer gefälschten, aber funktionalen App zu bringen. Dazu teilen die Kriminellen beispielsweise Links zu schadhaften Webseiten. Diese imitieren verschiedene Apps, darunter Messenger-Dienste und eine Anwendung, die bei Behördengängen unterstützen soll. Beim Klick auf den Download-Button wird ein Skript ausgeführt, das den Download-Pfad für die schädliche Datei generiert.
Nach der Installation der Apps reicht ein Befehl vom Command & Control (C&C) Server aus, um die Datenexfiltration zu beginnen. Auch bestimmte Ereignisse wie beispielsweise Veränderungen in der Internetverbindung, Anrufe, SMS-Nachrichten, das Anschließen oder Trennen des Ladegeräts und ein Geräteneustart können den Datenraub einleiten.
Betroffene Apps
Eine Kampagne beinhaltete LapizaChat, eine trojanisierte Variante der legitimen StealthChat-App. Zwei weitere Kampagnen verbreiteten AridSpy als NortirChat und ReblyChat. NortirChat basiert auf der gleichnamigen legitimen Session-Messaging-App, während ReblyChat den Messenger „Voxer Walkie Talkie“ imitiert.
Eine gefälschte Behörden-App nutzt den legitimen Server der ursprünglichen Anwendung, um Informationen abzurufen. Wahrscheinlich hat Arid Viper die Original-App zurückentwickelt (engl.: reverse engineered) und den Server genutzt, um Daten ihrer Opfer zu stehlen. Eine weitere Kampagne verbreitet AridSpy als App für Jobangebote.
Verbreitung über inoffizielle Quellen
Die betroffenen Apps sind nicht im Google Play Store verfügbar und lassen sich nur über Drittanbieter-Webseiten herunterladen. Um sie überhaupt auf das Gerät aufspielen zu können, muss die Option zur Installation von Apps aus unbekannten Quellen aktiviert sein. Die Mehrheit der in Palästina registrierten Spionagefälle stammte von der gefälschten Behörden-App.
Über Arid Viper
Arid Viper, auch bekannt als APT-C-23, Desert Falcons oder Two-tailed Scorpion, ist eine Cyberspionage-Gruppe, die dafür bekannt ist, Länder im Nahen Osten ins Visier zu nehmen. Die Gruppe hat im Laufe der Jahre durch ihr breites Arsenal an Malware für Android-, iOS- und Windows-Plattformen auf sich aufmerksam gemacht.
Für weitere technische Informationen lesen Sie den Blogpost „Arid Viper infiziert Android-Anwendungen mit AridSpy-Spyware“.