Arid Viper - хакерская группировка (также известная как APT-C-23, Desert Scorpion, Desert Falcon), известная своими атаками на Ближнем Востоке, а также атаками на военные и образовательные учреждения с 2017 года, распространяет новое шпионское ПО (Android/SpyC23) для Android, маскируя его под фальшивые приложения Threema, Telegram, WeMessage и др.
Arid Viper
Новая версия шпионского ПО имеет расширенные функции, в том числе может читать уведомления мессенджеров и приложений социальных сетей (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber и др.), записывать входящие и исходящие звонки, а также происходящее на экране, отключать уведомления встроенных инструментов безопасности Android. Последнее касается уведомлений от SecurityLogAgent на устройствах Samsung (securitylogagent); уведомления безопасности от MIUI на устройствах Xiaomi (com.miui.securitycenter); а также от Phone Manager на девайсах Huawei (huawei.systemmanager).
Android/SpyC23 давно умеет делать на зараженном устройстве фото и записывать аудио, похищать журнал вызов, список контактов, скачивать и удалять файлы определенными расширениями (pdf, doc, docx, ppt, pptx, xls, xlsx, txt, text, jpg, jpeg, png), а также приложения, и обладает рядом других опасных функций.
Заражение устройств новой версией шпионского ПО происходит в том случае, если жертвы посещают неофициальный магазин приложений DigitalApps и загружают оттуда такие приложения, как Telegram, Threema, WeMessage, AndroidUpdate, которые используются в качестве приманки. При этом специалисты считают, что DigitalApps — это лишь один из векторов распространения шпионского ПО, поскольку ранее исследователи уже находили другие приложения, которые не были доступны в этом магазине, но тоже содержали аналогичные вредоносы.
Indicators of Compromise
IPv4
- 54.255.143.112
- 173.236.89.19
- 188.40.75.132
TTP - тактика, техника, процедуры
Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Arid Viper.
ID | Техника | CWE | Описание | Доверие |
1 | T1059 | CWE-94 | Межсайтовый скриптинг | Высокий |
2 | T1059.007 | CWE-79, CWE-80 | Межсайтовый скриптинг | Высокий |
3 | T1068 | CWE-264, CWE-284 | Исполнение с избыточными привилегиями | Высокий |