AridSpy Malware avvia un'importante campagna di spionaggio mobile
Recenti scoperte effettuate da ricercatori di sicurezza informatica rivelano un allarmante aumento delle attività di spionaggio mobile orchestrate dall’autore della minaccia Arid Viper, noto anche come APT-C-23. Questa campagna utilizza applicazioni Android contenenti trojan per distribuire un ceppo di spyware denominato AridSpy, segnando un'evoluzione significativa nelle tattiche del gruppo.
Table of Contents
App con trojan come vettori di distribuzione
Il ricercatore ESET Lukáš Štefanko identifica che AridSpy si infiltra nei dispositivi attraverso siti Web contraffatti che si spacciano per app legittime. Questi includono piattaforme di messaggistica come LapizaChat e portali per l’impiego, nonché repliche ingannevoli dell’app del registro civile palestinese. Queste versioni con trojan incorporano codice dannoso per facilitare la raccolta e la trasmissione segreta di dati.
Dalla sua nascita nel 2017, Arid Viper ha condotto numerose campagne rivolte principalmente al personale militare, ai giornalisti e ai dissidenti in tutto il Medio Oriente. L’attuale ondata di attacchi abbraccia cinque campagne documentate, di cui tre ancora attive secondo gli ultimi rapporti.
Approfondimenti tecnici su AridSpy
L'analisi di ESET rivela che AridSpy si è evoluto in un trojan multi-fase in grado di scaricare payload aggiuntivi da un server di comando e controllo. Questa sofisticata architettura consente al malware di aggirare le misure di sicurezza e persistere sui dispositivi compromessi.
Tattiche di ingegneria geografica e sociale
Gli autori malintenzionati prendono di mira strategicamente gli utenti in Palestina ed Egitto, sfruttando app rilevanti a livello culturale e regionale per aumentare la credibilità e indurre vittime ignare a scaricare software compromesso. Ad esempio, l’app contraffatta del registro civile palestinese imita le funzionalità di una controparte legittima mentre esfiltra i dati su server non autorizzati.
Meccanica operativa e persistenza
Al momento dell'installazione, AridSpy avvia la ricognizione controllando la presenza di software di sicurezza, garantendo che le sue operazioni segrete rimangano inosservate. Il malware può funzionare indipendentemente dall'app host iniziale, utilizzando tattiche ingannevoli come impersonare aggiornamenti per Google Play Services per mantenere l'accesso e il controllo.
Funzionalità avanzate di raccolta dati
AridSpy supporta un'ampia gamma di comandi progettati per estrarre dati sensibili da dispositivi compromessi. Può catturare foto di nascosto utilizzando la fotocamera anteriore del dispositivo in condizioni specifiche, come il livello della batteria e il tempo trascorso dall'ultima acquisizione, illustrando le capacità di sorveglianza invasiva del malware.
La campagna AridSpy sottolinea la minaccia persistente rappresentata dalle sofisticate operazioni di spionaggio mobile. Mentre gli autori delle minacce continuano a innovare e adattare le loro strategie, la vigilanza e le misure di sicurezza proattive rimangono fondamentali per mitigare i rischi associati a minacce informatiche così avanzate.
