Arid Viper APT

security Security

Arid Viper - хакерская группировка (также известная как APT-C-23, Desert Scorpion, Desert Falcon), известная своими атаками на Ближнем Востоке, а также атаками на военные и образовательные учреждения с 2017 года, распространяет новое шпионское ПО (Android/SpyC23) для Android, маскируя его под фальшивые приложения Threema, Telegram, WeMessage и др.

Arid Viper

Новая версия шпионского ПО имеет расширенные функции, в том числе может читать уведомления мессенджеров и приложений социальных сетей (WhatsApp, Facebook, Telegram, Instagram, Skype, Messenger, Viber и др.), записывать входящие и исходящие звонки, а также происходящее на экране, отключать уведомления встроенных инструментов безопасности Android. Последнее касается уведомлений от SecurityLogAgent на устройствах Samsung (securitylogagent); уведомления безопасности от MIUI на устройствах Xiaomi (com.miui.securitycenter); а также от Phone Manager на девайсах Huawei (huawei.systemmanager).

Android/SpyC23 давно умеет делать на зараженном устройстве фото и записывать аудио, похищать журнал вызов, список контактов, скачивать и удалять файлы определенными расширениями (pdf, doc, docx, ppt, pptx, xls, xlsx, txt, text, jpg, jpeg, png), а также приложения, и обладает рядом других опасных функций.

Заражение устройств новой версией шпионского ПО происходит в том случае, если жертвы посещают неофициальный магазин приложений DigitalApps и загружают оттуда такие приложения, как Telegram, Threema, WeMessage, AndroidUpdate, которые используются в качестве приманки. При этом специалисты считают, что DigitalApps — это лишь один из векторов распространения шпионского ПО, поскольку ранее исследователи уже находили другие приложения, которые не были доступны в этом магазине, но тоже содержали аналогичные вредоносы.

Indicators of Compromise

IPv4

  • 54.255.143.112
  • 173.236.89.19
  • 188.40.75.132

TTP - тактика, техника, процедуры

Тактика, методы и процедуры (TTP) обобщают предполагаемые методы MITRE ATT&CK, используемые Arid Viper.

ID Техника CWE Описание Доверие
1 T1059 CWE-94 Межсайтовый скриптинг Высокий
2 T1059.007 CWE-79, CWE-80 Межсайтовый скриптинг Высокий
3 T1068 CWE-264, CWE-284 Исполнение с избыточными привилегиями Высокий
SEC-1275-1
Добавить комментарий