- „ESET Research“ atrado daugiapakopę „Android“ kenkėjišką programą, ją ESET pavadino „AridSpy“. Ji platinama per penkias konkrečias svetaines.
- ESET aptiko „AridSpy“ naudojimo atvejų Palestinoje bei Egipte ir, nors nėra visiškai įsitikinusi, šią veiklą priskyrė „Arid Viper APT“ grupei.
- Kai kuriais atvejais „AridSpy“ kodas yra įtrauktas į tikras funkcijas atliekančias programėles.
- „AridSpy“ yra nuotoliniu būdu valdomas Trojos arklys, kurio pagrindinis tikslas – naudotojų duomenų šnipinėjimas. Be kita ko, jis gali šnipinėti žinučių siuntimo programėlėse ir išfiltruoti turinį iš įrenginio.
ESET tyrėjai nustatė penkias kampanijas, kurių metu naudotos „Android“ skirtos programėlės su Trojos arkliais. Greičiausiai šios „Arid Viper APT“ grupės vykdomos kampanijos buvo pradėtos 2022 m., o trys iš jų tebevykdomos šio pranešimo spaudai paskelbimo metu. Šių kampanijų esmė – diegti daugiapakopę „Android“ šnipinėjimo programą. Ją ESET pavadino „AridSpy“. Ji atsisiunčia pirmosios ir antrosios pakopų naudinguosius duomenis iš savo virusą valdančio („C&C“) serverio, kad padėtų išvengti aptikimo. Kenkėjiška programa platinama per specialias svetaines, kurios imituoja įvairias pranešimų siuntimo programėles, darbo galimybių programėlę ir Palestinos civilinės metrikacijos programėlę. Dažnai tai yra egzistuojančios programėlės, kurios buvo trojanizuotos pridedant „AridSpy“ kenkėjišką kodą. „ESET Research“ aptiko nuotoliniu būdu valdomą „AridSpy“ Trojos arklį, kurio pagrindinis tikslas – naudotojų duomenų šnipinėjimas Palestinoje ir Egipte.
Kibernetinio šnipinėjimo grupė, besitaikanti į Artimųjų Rytų šalis
„Arid Viper“, taip pat žinoma kaip APT-C-23, „Desert Falcons“ arba „Two-tailed Scorpion“, yra kibernetinio šnipinėjimo grupė, besitaikanti į Artimųjų Rytų šalis. Bėgant metams grupė dėmesį patraukė dėl savo didžiulio kenkėjiškų programų, skirtų „Android“, „iOS“ ir „Windows“ platformoms, arsenalo.
Imituojančiose svetainėse pateiktos trys paveiktos programėlės yra tikros programėlės, trojanizuotos „AridSpy“ šnipinėjimo programomis. Šios kenkėjiškos programėlės niekada nebuvo prieinamos per „Google Play“, jas galima atsisiųsti tik iš trečiųjų šalių svetainių. Kad būtų galima įdiegti šias programėles, potencialios aukos prašoma įjungti nenumatytąją „Android“ parinktį, leidžiančią įdiegti programas iš nežinomų šaltinių. Dauguma Palestinoje užregistruotų šnipinėjimo programų atvejų buvo susiję su kenkėjiška Palestinos civilinės metrikacijos programėle.
„Kad gautų pirminę prieigą prie įrenginio, grėsmę keliančios priemonės bando įtikinti savo potencialią auką įdiegti netikrą, bet savo funkcijas atliekančią programėlę. Vos spustelėjus svetainėje esantį atsisiuntimo mygtuką, vykdomas tame pačiame serveryje priglobtas „myScript.js“, kurio tikslas – sukurti teisingą kenkėjiško failo atsisiuntimo kelią“, – pasakojo „AridSpy“ atradęs ir nustatęs, kaip užkrečiami naudotojai, ESET tyrėjas Lukášas Štefanko.
Vienos kampanijos metu buvo naudojama „LapizaChat“ – kenkėjiška „Android“ pranešimų siuntimo programėlė su trojanizuotomis „StealthChat: Private Messaging“ versijomis, susietomis su kenkėjišku „AridSpy“ kodu. ESET nustatė dvi kitas kampanijas, pradėjusias platinti „AridSpy“ po „LapizaChat“, šį kartą imituojant susirašinėjimo programėles „NortirChat“ ir „ReblyChat“. „NortirChat“ yra pagrįsta tikrąja „Session“ pranešimų siuntimo programėle, o „ReblyChat“ – tikrąja „Voxer Walkie Talkie Messenger“.
Palestinos civilinės metrikacijos programėlė sukurta pagal programėlę, kuri anksčiau buvo prieinama per „Google Play“. Tačiau, remiantis mūsų tyrimo duomenimis, internete prieinama kenkėjiška programėlė nėra „Google Play“ randamos programėlės trojanizuota versija, veikiau ji naudoja tikrą programėlės serverį informacijai gauti. Tai reiškia, kad „Arid Viper“ rėmėsi tos programėlės funkcijomis, tačiau sukūrė savo kliento sluoksnį, palaikantį ryšį su tikruoju serveriu. Greičiausiai „Arid Viper“ sukūrė teisėtą „Android“ programėlę iš „Google Play“ ir naudojo savo serverį aukų duomenims gauti. Paskutinė ESET nustatyta kampanija platina „AridSpy“ kaip darbo pasiūlymų programėlę.
Neteisėtas duomenų rinkimas
„AridSpy“ turi funkciją, kuri leidžia išvengti tinklo aptikimo, ypač viruso valdymo („C&C“) ryšio. Ji gali išsijungti, kaip nurodyta „AridSpy“ kode. Duomenų išfiltravimas inicijuojamas gavus komandą iš „Firebase C&C“ serverio arba kai suaktyvinamas konkrečiai apibrėžtas įvykis. Šie įvykiai apima interneto ryšio pokyčius, programėlės įdiegimą arba pašalinimą, skambučio siuntimą ar gavimą, SMS žinutės siuntimą arba gavimą, baterijos įkroviklio prijungimą ar atjungimą arba įrenginio paleidimą iš naujo.
Jei įvyksta kuris nors iš šių įvykių, „AridSpy“ pradeda rinkti įvairius aukos duomenis ir įkelia juos į išfiltravimo virusą valdantį („C&C“) serverį. Gali būti renkami, be kita ko, šie duomenys: įrenginio vieta, kontaktų sąrašai, skambučių žurnalai, SMS žinutės, nuotraukų miniatiūros, įrašytų vaizdo įrašų miniatiūros, įrašyti telefono skambučiai, įrašyti aplinkinių garsų įrašai, kenkėjiškų programų padarytos nuotraukos, „WhatsApp“ duomenų bazės, įskaitant išsiųstas ir gautas žinutes bei naudotojo kontaktus, numatytosios naršyklės bei „Chrome“, „Samsung“ naršyklės ir „Firefox“ programėlių, jei jos įdiegtos, adresynas ir paieškos istorija, išorinės atminties failai, bendravimo per „Facebook Messenger“ ir „WhatsApp“ duomenys bei visi gauti pranešimai.