AridSpy-Malware startet große mobile Spionagekampagne
Aktuelle Erkenntnisse von Cybersicherheitsforschern zeigen einen alarmierenden Anstieg mobiler Spionageaktivitäten, die vom Bedrohungsakteur Arid Viper, auch bekannt als APT-C-23, orchestriert werden. Diese Kampagne verwendet mit Trojanern infizierte Android-Anwendungen, um eine Spyware-Variante namens AridSpy zu verbreiten, was eine bedeutende Weiterentwicklung der Taktik der Gruppe darstellt.
Table of Contents
Trojanisierte Apps als Verbreitungsvektoren
ESET-Forscher Lukáš Štefanko stellt fest, dass AridSpy über gefälschte Websites, die sich als legitime Apps ausgeben, in Geräte eindringt. Dazu gehören Messaging-Plattformen wie LapizaChat und Stellenportale sowie betrügerische Nachbildungen der palästinensischen Zivilregister-App. Diese trojanisierten Versionen enthalten Schadcode, um die verdeckte Datenerfassung und -übertragung zu erleichtern.
Seit seinem Auftauchen im Jahr 2017 hat Arid Viper mehrere Kampagnen durchgeführt, die sich hauptsächlich gegen Militärangehörige, Journalisten und Dissidenten im Nahen Osten richteten. Die aktuelle Angriffswelle umfasst fünf dokumentierte Kampagnen, von denen nach den neuesten Berichten drei noch aktiv sind.
Technische Einblicke in AridSpy
Die Analyse von ESET zeigt, dass sich AridSpy zu einem mehrstufigen Trojaner entwickelt hat, der in der Lage ist, zusätzliche Payloads von einem Command-and-Control-Server herunterzuladen. Diese ausgeklügelte Architektur ermöglicht es der Malware, Sicherheitsmaßnahmen zu umgehen und auf infizierten Geräten zu verbleiben.
Geografische und soziale Engineering-Taktiken
Die böswilligen Akteure zielen strategisch auf Benutzer in Palästina und Ägypten ab. Sie nutzen kulturell und regional relevante Apps, um deren Glaubwürdigkeit zu erhöhen und ahnungslose Opfer zum Herunterladen kompromittierter Software zu verleiten. So ahmt die gefälschte palästinensische Zivilregister-App beispielsweise die Funktionalität eines legitimen Gegenstücks nach und schleust Daten auf nicht autorisierte Server aus.
Betriebsmechanik und Persistenz
Nach der Installation leitet AridSpy eine Aufklärung ein, indem es nach Sicherheitssoftware sucht und so sicherstellt, dass seine verdeckten Operationen unentdeckt bleiben. Die Malware kann unabhängig von ihrer ursprünglichen Host-App agieren und betrügerische Taktiken wie das Vortäuschen von Updates für Google Play Services verwenden, um Zugriff und Kontrolle aufrechtzuerhalten.
Erweiterte Datenerfassungsfunktionen
AridSpy unterstützt eine Vielzahl von Befehlen, die darauf ausgelegt sind, vertrauliche Daten von infizierten Geräten zu extrahieren. Unter bestimmten Bedingungen, wie etwa dem Akkustand und der Zeit seit der letzten Aufnahme, kann es heimlich Fotos mit der Frontkamera des Geräts aufnehmen, was die invasiven Überwachungsfunktionen der Malware veranschaulicht.
Die AridSpy-Kampagne unterstreicht die anhaltende Bedrohung durch hochentwickelte mobile Spionageoperationen. Da Bedrohungsakteure ihre Strategien ständig weiterentwickeln und anpassen, bleiben Wachsamkeit und proaktive Sicherheitsmaßnahmen von entscheidender Bedeutung, um die mit solchen hochentwickelten Cyberbedrohungen verbundenen Risiken einzudämmen.
