מחקר: ESET חושפת נוזקת ריגול אחר משתמשים במצרים וברשות הפלסטינית

למאמר הבא
ESET

חוקרי חברת אבטחת המידע ESET זיהו חמישה קמפיינים בהם נעשה שימוש באפליקציות המודבקות בסוס טרויאני כדי לתקוף משתמשי Android. הקמפיינים, שככל הנראה מופעלים על ידי קבוצת התקיפה המכונה Arid Viper, התחילו בשנת 2022 וחלקם ממשיכים לפעול גם בזמן זה.

הקמפיינים מובילים להתקנה של רוגלה מרובת-שלבים למכשירי Android, אותה ESET כינתה בשם AridSpy. הרוגלה מורידה נוזקות בשני שלבים משרת השליטה והבקרה שלה כדי לסייע לה לחמוק מזיהוי.

AridSpy מופצת דרך אתרים ייעודיים המתחזים לאפליקציות מסרים מיידיים שונות: אפליקציה לחיפוש ומציאת עבודה ואפליקציה של רשות המרשם האזרחי הפלסטיני. במרבית המקרים, מדובר באפליקציות קיימות שהודבקו בסוס טרויאני באמצעות הוספת הקוד הזדוני של AridSpy לאפליקציה.

מחלקת המחקר של ESET זיהתה את הסוס הטרויאני AridSpy, שמתמקד בריגול אחר נתוני משתמשים, בשטחי הרשות הפלסטינית ובמצרים.

Arid Viper, המוכרת גם בשמות APT-C-23, Desert Falcons או Two-tailed Scorpion, היא קבוצת ריגול סייבר שידועה בתקיפת מדינות במזרח התיכון. הקבוצה זוכה לתשומת לב רבה בשנים האחרונות בעקבות הארסנל האדיר של נוזקות שהיא מפתחת לפלטפורמות Android, iOS ו-Windows.

שלוש מהאפליקציות שהושפעו מהמתקפה וסופקו למשתמשים דרך אתרים מתחזים הן אפליקציות לגיטימיות שהודבקו ברוגלת AridSpy. האפליקציות הזדוניות לא הוצעו להורדה מחנות Google Play וניתן היה להוריד אותן אך ורק מאתרים חיצוניים. כדי להתקין את האפליקציות, הקורבן הפוטנציאלי התבקש לאפשר התקנת אפליקציות ממקורות לא מוכרים, תכונה שאיננה פעילה כברירת מחדל. מרבית המקרים של ההדבקה ברוגלה שתועדו בשטחי הרשות הפלסטינית, הם מקרים של התקנת האפליקציה המודבקת למרשם האזרחי הפלסטיני.

״כדי לקבל גישה ראשונית למכשיר, התוקפים מנסים לשכנע את הקורבן הפוטנציאלי להתקין תוכנה מזויפת אך מתפקדת. לאחר שמטרת המתקפה לוחץ על כפתור ההורדה, קובץ סקריפט בשם myScript.js, שמאוחסן על אותו השרת, מופעל כדי לייצר את נתיב ההורדה המתאים לקובץ הזדוני״, מסביר לוקאס סטפנקו, חוקר ESET שגילה את AridSpy ומתאר כיצד המשתמשים הודבקו.

בקמפיין אחד נכללה אפליקציית LapizaChat, אפליקציה זדונית ל-Android להעברת מסרים מיידיים שאליה הצטרפו גרסאות מודבקות בסוס טרויאני של StealthChat: Private Messaging באמצעות הקוד הזדוני של AridSpy.

ESET זיהתה שני קמפיינים נוספים לאחר LapizaChat בהם נוזקת AridSpy הופצה, אך הפעם האפליקציות התחזו לאפליקציות להעברת מסרים מיידיים בשמות NortirChat ו-ReblyChat. אפליקציית NortirChat מתבססת על אפליקציית Session הלגיטימית, ואילו ReblyChat מתבססת על אפליקציית Voxer Walkie Talkie Messenger הלגיטימית.

מהצד השני, האפליקציה של המרשם האזרחי הפלסטיני קיבלה השראה מאפליקציה שהייתה זמינה בעבר בחנות Google Play. עם זאת, על פי המחקר שלנו, האפליקציה הזדונית שזמינה להורדה מאתרי אינטרנט אינה העתק של האפליקציה המקורית שמודבק בסוס טרויאני, אלא אפליקציה שמשתמשת בשרת הלגיטימי של האפליקציה המקורית כדי לקבל מידע. כלומר, קבוצת Arid Viper קיבלה השראה מהפונקציונליות של האפליקציה המקורית, אך יצרה אפליקציית צד-לקוח משלה שמתקשרת עם השרת הלגיטימי. ככל הנראה, קבוצת Arid Viper ביצעה הנדסה לאחור של האפליקציה הלגיטימית מחנות Google Play והשתמשה בשרתים שלה כדי להשיג נתונים על הקורבנות. בקמפיין האחרון ESET זיהתה הפצה של AridSpy כחלק מאפליקציה לחיפוש עבודה.

לנוזקת AridSpy יש פיצ׳ר שנועד למנוע זיהוי שלה ברשת, ובעיקר של תקשורת השליטה והבקרה של הנוזקה. היא יכולה לכבות את עצמה, כפי שניתן לראות בקוד של AridSpy. חילוץ נתונים מתחיל בעקבות קבלת פקודה משרת השליטה והבקרה Firebase או כאשר מתרחש אירוע שהוגדר מראש. בין האירועים האלה אפשר למנות: שינוי במצב החיבור לאינטרנט, התקנה או הסרה של האפליקציה, התקשרות למספר טלפון או קבלת שיחה, שליחה או קבלה של הודעת SMS, חיבור של הטלפון למטען או ניתוק מטעינה או הפעלה מחדש של המכשיר.

אם אחד מבין האירועים האלה קורה, AridSpy מתחילה לאסוף נתונים שונים של הקורבן ומעלה אותם לשרת שעוסק בשליטה ובקרה על חילוץ הנתונים. הנוזקה יכולה לאסוף את הנתונים הבאים: מיקום המכשיר, רשימת אנשי הקשר, יומני השיחות, תמונות מוקטנות (תצוגה מקדימה) של תמונות וסרטונים מהגלריה, הקלטות של שיחות טלפון, הקלטות של צלילי רקע, תמונות שצולמו ע״י הנוזקה, בסיסי נתונים של WhatsApp הכוללים הודעות שהתקבלו ונשלחו ואנשי קשר, מועדפים (סימניות) והיסטוריית חיפוש של דפדפן ברירת המחדל ושל Chrome, Samsung Browser ו-Firefox (אם אלו מותקנות), קבצים מאחסון חיצוני, היסטוריה של WhatsApp ו-Facebook Messenger, התראות שהתקבלו ועוד רבים אחרים.

אלכס שטיינברג, מנהל המוצרים ב-ESET, מסביר כי: "מדובר בעוד דוגמה לקבוצת תקיפה המבצעת קמפיין ריגול במזרח התיכון בדומה לקבוצת פולוניום שתקפה מטרות ישראליות.
נראה כי שכנעו את המשתמשים להוריד ולהתקין אפליקציות שלא מחנות האפליקציות על מנת לגנוב מידע. הטלפון החכם שלנו כולל מידע אישי רב וגורמים רבים עלולים לגלות בו עניין לטובת מטרות שונות. זהו מקרה נוסף אשר מחזק את החשיבות של מודעות בקרב כלל האוכלוסייה.
מה אפשר לעשות?
מומלץ להוריד אפליקציות רק מחנויות האפליקציות הרשמיות.
שימו לב כי 'פריצת' המכשיר (Root) מאפשרת הרשאות יתר למשתמש וגם לתוקפים פוטנציאליים.
מומלץ לבדוק אם קיים עדכון של מערכת ההפעלה והאפליקציות באופן תדיר ולהתקין אותו.
בנוסף, מומלץ להפעיל מחדש את המכשיר מעת לעת."

סקירת אופן הדלפת הנתונים באמצעות AridSpy