AridSpy マルウェアが大規模なモバイルスパイ活動を開始

サイバーセキュリティ研究者による最近の調査結果から、APT-C-23 としても知られる脅威アクター Arid Viper が組織するモバイルスパイ活動が急増していることが明らかになりました。この攻撃では、トロイの木馬化された Android アプリケーションを使用して AridSpy と呼ばれるスパイウェアを配布しており、このグループの戦術が大きく進化していることを示しています。

Table of Contents

トロイの木馬化されたアプリの配布経路

ESET の研究者 Lukáš Štefanko は、AridSpy が正規のアプリを装った偽の Web サイトを通じてデバイスに侵入することを確認しました。これには、LapizaChat などのメッセージングプラットフォームや求人ポータル、パレスチナ市民登録アプリの偽のレプリカが含まれます。これらのトロイの木馬化されたバージョンには、秘密裏にデータを収集および送信するための悪意のあるコードが埋め込まれています。

2017 年に出現して以来、Arid Viper は中東全域で主に軍人、ジャーナリスト、反体制派を標的とした複数の攻撃を展開してきました。現在の一連の攻撃は記録されている 5 つの攻撃に及び、最新の報告によると 3 つがまだ活動中です。

AridSpy の技術的洞察

ESET の分析により、AridSpy はコマンドアンドコントロールサーバーから追加のペイロードをダウンロードできる多段階のトロイの木馬に進化していることが明らかになりました。この洗練されたアーキテクチャにより、マルウェアはセキュリティ対策を回避し、侵害されたデバイスに留まることができます。

地理と社会工学の戦術

悪意のある攻撃者は、文化的および地域的に関連のあるアプリを活用して信頼性を高め、疑いを持たない被害者を誘惑して侵害されたソフトウェアをダウンロードさせ、パレスチナとエジプトのユーザーを戦略的にターゲットにしています。たとえば、偽造されたパレスチナ市民登録アプリは、正規のアプリの機能を模倣しながら、データを不正なサーバーに流出させます。

運用の仕組みと持続性

AridSpy はインストールされると、セキュリティソフトウェアをチェックして偵察を開始し、その秘密の活動が検出されないようにします。マルウェアは、アクセスと制御を維持するために、Google Play サービスのアップデートを偽装するなどの欺瞞的な戦術を使用して、最初のホストアプリとは独立して動作できます。