AridSpy Malware inicia una importante campaña de espionaje móvil
Hallazgos recientes de investigadores de ciberseguridad revelan un aumento alarmante en las actividades de espionaje móvil orquestadas por el actor de amenazas Arid Viper, también conocido como APT-C-23. Esta campaña emplea aplicaciones de Android troyanizadas para distribuir una cepa de software espía denominada AridSpy, lo que marca una evolución significativa en las tácticas del grupo.
Table of Contents
Aplicaciones troyanizadas como vectores de distribución
El investigador de ESET, Lukáš Štefanko, identifica que AridSpy se infiltra en los dispositivos a través de sitios web falsificados que se hacen pasar por aplicaciones legítimas. Entre ellas se incluyen plataformas de mensajería como LapizaChat y portales de empleo, así como réplicas engañosas de la aplicación del Registro Civil Palestino. Estas versiones troyanizadas incorporan código malicioso para facilitar la recopilación y transmisión encubierta de datos.
Desde su aparición en 2017, Arid Viper ha llevado a cabo múltiples campañas dirigidas principalmente a personal militar, periodistas y disidentes en todo Medio Oriente. La actual ola de ataques abarca cinco campañas documentadas, tres de las cuales aún están activas según los últimos informes.
Información técnica sobre AridSpy
El análisis de ESET revela que AridSpy ha evolucionado hasta convertirse en un troyano de múltiples etapas capaz de descargar cargas útiles adicionales desde un servidor de comando y control. Esta sofisticada arquitectura permite que el malware eluda las medidas de seguridad y persista en los dispositivos comprometidos.
Tácticas de ingeniería geográfica y social
Los actores maliciosos apuntan estratégicamente a usuarios en Palestina y Egipto, aprovechando aplicaciones cultural y regionalmente relevantes para mejorar la credibilidad y atraer a víctimas desprevenidas para que descarguen software comprometido. Por ejemplo, la aplicación falsificada del Registro Civil Palestino imita la funcionalidad de una contraparte legítima al tiempo que extrae datos a servidores no autorizados.
Mecánica operativa y persistencia
Tras la instalación, AridSpy inicia un reconocimiento buscando software de seguridad, asegurando que sus operaciones encubiertas no sean detectadas. El malware puede operar independientemente de su aplicación host inicial, utilizando tácticas engañosas como suplantar actualizaciones de los servicios de Google Play para mantener el acceso y el control.
Capacidades avanzadas de recolección de datos
AridSpy admite una amplia gama de comandos diseñados para extraer datos confidenciales de dispositivos comprometidos. Puede capturar fotografías subrepticiamente utilizando la cámara frontal del dispositivo en condiciones específicas, como el nivel de la batería y el tiempo desde la última captura, lo que ilustra las capacidades de vigilancia invasiva del malware.
La campaña AridSpy subraya la persistente amenaza que plantean las sofisticadas operaciones de espionaje móvil. A medida que los actores de amenazas continúan innovando y adaptando sus estrategias, la vigilancia y las medidas de seguridad proactivas siguen siendo fundamentales para mitigar los riesgos asociados con estas amenazas cibernéticas avanzadas.
