Исследователи ESET обнаружили пять кампаний Arid Viper, нацеленных на пользователей Android в Египте и Палестине. Эти кампании начались в 2022 году и продолжаются до сих пор. Arid Viper распространяет троянские приложения, используя многоступенчатое шпионское ПО для Android, названное AridSpy. Вредоносное программное обеспечение распространяется через специальные веб-сайты, которые выдают себя за различные приложения, такие как приложение для обмена сообщениями или приложение для поиска работы. Часто это уже существующие приложения, которые были троянизированы. AridSpy позволяет злоумышленникам удаленно контролировать зараженные устройства и собирать пользовательские данные.
Кибершпионская группа Arid Viper, также известная как APT-C-23 или Desert Falcons, активна как минимум с 2013 года. Группа проявила себя в атаках на страны Ближнего Востока и использует большой арсенал вредоносных программ для различных платформ, включая Android, iOS и Windows.
Исследователи ESET обнаружили, что AridSpy имеет несколько стадий развития. В первоначальной стадии AridSpy представлял собой простое троянское приложение с одним вредоносным кодом. Однако в последующих кампаниях были обнаружены новые стадии развития AridSpy, где вредоносная программа стала многоступенчатой. Вредоносная программа загружала дополнительные полезные нагрузки с C&C-сервера, что помогало ей избежать обнаружения.
Анализ ESET также выявил несколько специфических сайтов, используемых для распространения AridSpy. Некоторые из этих сайтов представляют собой веб-сайты, выдающие себя за различные приложения, включая NortirChat, LapizaChat и ReblyChat, а также приложение для операторов и палестинский гражданский реестр. Всего было обнаружено пять активных сайтов и два неактивных сайта, использующих AridSpy для распространения вредоносных приложений.
Indicators of Compromise
IPv4
- 162.0.224.52
- 198.187.31.161
- 199.192.25.241
- 23.106.223.135
- 23.106.223.54
- 23.254.130.97
- 35.190.39.113
- 45.87.81.169
- 64.44.102.198
- 66.29.141.173
- 68.65.121.120
- 68.65.121.90
- 68.65.122.94
Domains
- almoshell.website
- alwaysgoodidea.com
- analyticsandroid.com
- crashstoreplayer.website
- elsilvercloud.com
- gameservicesplay.com
- lapizachat.com
- nortirchats.com
- orientflags.com
- proj-2bedf.firebaseio.com
- proj3-1e67a.firebaseio.com
- proj-54ca0.firebaseio.com
- proj-95dae.firebaseio.com
- project44-5ebbd.firebaseio.com
- reblychat.com
- ultraversion.com
- www.lapizachat.com
- www.palcivilreg.com
SHA1
- 16c8725362d1ebc8443c97c5ab79a1b6428ff87d
- 2158d88bce6368fac3fcb7f3a508fe6b96b0cf8a
- 3485a0a51c6dae251cdad20b2f659b3815212162
- 568e62abc0948691d67236d9290d68de34bd6c75
- 5f0213ba62b84221c9628f7d0a0cf87f27a45a28
- 78f6669e75352f08a8b0ca155377eee06e228f58
- 797073511a15eb85c1e9d8584b26baa3a0b14c9e
- 8ff57dc85a7732e4a9d144f20b68e5bc9e581300
- a64d73c43b41f9a5b938ae8558759adc474005c1
- a934fb482f61d85dda5e52a7015f1699bf55b5a9
- b806b89b8c44f46748888c1f8c3f05df2387df19
- c999ace5325b7735255d9ee2dd782179ae21a673
- db6b6326b772257fddcb4be7cf1a0cc0322387d8
- e71f1484b1e3acb4c8e8525ba1f5f8822ab7238b
- f49b00896c99ea030dcca0808b87e414bbde1549