С апреля 2022 года Cisco Talos отслеживает вредоносную кампанию, проводимую группой постоянных угроз Arid Viper, которая занимается шпионажем и нацелена на арабоязычных пользователей Android. В рамках этой кампании злоумышленники используют пользовательские вредоносные программы для мобильных устройств, известные также как файлы пакетов Android (APK), для сбора конфиденциальной информации и установки дополнительных вредоносных программ на зараженные устройства.
Вредоносная программа для мобильных устройств, используемая в данной кампании, имеет сходство с вредоносным приложением для онлайн-знакомств под названием Skipped. В частности, вредоносная программа использует схожее название и один и тот же общий проект на платформе разработки приложений. Такое совпадение позволяет предположить, что операторы Arid Viper либо связаны с разработчиком Skipped, либо каким-то образом получили незаконный доступ к базе данных общего проекта. Анализ, проведенный Cisco, выявил целый ряд приложений для имитации знакомств, связанных с Skipped, что позволяет предположить, что операторы Arid Viper могут попытаться использовать эти дополнительные приложения в будущих вредоносных кампаниях.
Чтобы вынудить пользователей загрузить свое вредоносное ПО для мобильных устройств, операторы Arid Viper распространяют вредоносные ссылки, маскирующиеся под обновления приложений для знакомств, которые вместо этого доставляют вредоносное ПО на устройство пользователя.
Вредоносная программа Arid Viper для Android обладает рядом функций, которые позволяют операторам отключать уведомления системы безопасности, собирать конфиденциальную информацию пользователей и устанавливать на скомпрометированное устройство дополнительные вредоносные приложения.
Indicators of Compromise
Domains
- conner-margie.com
- danny-cartwright.firm.in
- elizabeth-steiner.tech
- haroldramsey.icu
- jack-keys.site
- junius-cassin.com
- lightroom-61eb2.firebaseio.com
- luis-dubuque.in
- orin-weimann.com
- skippedtestinapp.firebaseio.com
URLs
- https://elizabeth-steiner.tech/download/HwIFlqt
- https://jack-keys.site/download/okOqphD
- https://lightroom-61eb2.firebaseio.com/
- https://orin-weimann.com/abc/signal.apk
- https://orin-weimann.com/abc/Update%20Services.apk
- https://skippedtestinapp.firebaseio.com/
SHA256
- 1b6113f2faf070d078a643d77f09d4ca65410cf944a89530549fc1bebdb88c8c
- 33ae5c96f8589cc8bcd2f5152ba360ca61f93ef406369966e69428989583a14e
- 57fb9daf70417c3cbe390ac44979437c33802a049f7ab2d0e9b69f53763028c5
- 682b58cad9e815196b7d7ccf04ab7383a9bbf1f74e65679e6c708f2219b8692b
- 8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964
- 9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f
- a8ca778c5852ae05344ac60b01ad7f43bb21bd8aa709ea1bb03d23bde3146885
- d5e59be8ad9418bebca786b3a0a681f7e97ea6374f379b0c4352fee1219b3c29
- D69cf49f703409bc01ff188902d88858a6237a2b4b0124d553a9fc490e8df68a
- e0e2a101ede6ccc266d2f7b7068b813d65afa4a3f65cb0c19eb73716f67983f7
- ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f
- ee98fd4db0b153832b1d64d4fea1af86aff152758fe6b19d01438bc9940f2516
- f15a22d2bdfa42d2297bd03c43413b36849f78b55360f2ad013493912b13378a
- f91e88dadc38e48215c81200920f0ac517da068ef00a75b1b67e3a0cd27a6552
- fb9306f6a0cacce21afd67d0887d7254172f61c7390fc06612c2ca9b55d28f80
