„AridSpy“ kenkėjiška programa inicijuoja didelę mobiliojo šnipinėjimo kampaniją
Naujausi kibernetinio saugumo tyrinėtojų išvados atskleidžia nerimą keliantį mobiliojo šnipinėjimo aktyvumą, kurį organizuoja grėsmių veikėjas Aridas Viperis, dar žinomas kaip APT-C-23. Šioje kampanijoje naudojamos Trojanizuotos „Android“ programos, skirtos šnipinėjimo programų atmainai, pavadintai „AridSpy“, platinti, o tai žymi reikšmingą grupės taktikos evoliuciją.
Table of Contents
Trojanizuotos programos kaip platinimo vektoriai
ESET tyrinėtojas Lukášas Štefanko nustatė, kad „AridSpy“ įsiskverbia į įrenginius per suklastotas svetaines, kurios pristatomos kaip teisėtos programėlės. Tai apima pranešimų platformas, tokias kaip „LapizaChat“ ir užimtumo portalus, taip pat apgaulingas Palestinos civilinės metrikacijos programos kopijas. Šiose Trojanizuotose versijose yra įdėtas kenkėjiškas kodas, kad būtų lengviau rinkti ir perduoti slaptus duomenis.
Nuo tada, kai atsirado 2017 m., „Arid Viper“ vykdė daugybę kampanijų, daugiausia nukreiptų į karinį personalą, žurnalistus ir disidentus Viduriniuose Rytuose. Dabartinė atakų banga apima penkias dokumentais pagrįstas kampanijas, iš kurių trys vis dar aktyvios pagal naujausius pranešimus.
Techninės AridSpy įžvalgos
ESET analizė atskleidė, kad „AridSpy“ tapo daugiapakopiu Trojos arkliu, galinčiu atsisiųsti papildomų naudingųjų apkrovų iš komandų ir valdymo serverio. Ši sudėtinga architektūra leidžia kenkėjiškajai programai apeiti saugos priemones ir išlikti pažeistuose įrenginiuose.
Geografinės ir socialinės inžinerijos taktika
Kenkėjiški veikėjai strategiškai taikosi į naudotojus Palestinoje ir Egipte, pasitelkdami kultūriniu ir regioniniu požiūriu svarbias programėles, kad padidintų patikimumą ir priviliotų nieko neįtariančias aukas atsisiųsti pažeistą programinę įrangą. Pavyzdžiui, suklastota Palestinos civilinės metrikacijos programa imituoja teisėto partnerio funkcijas, o duomenis išfiltruoja į neleistinus serverius.
Veikimo mechanika ir patvarumas
Įdiegęs „AridSpy“ pradeda žvalgybą, patikrindamas, ar nėra saugos programinės įrangos, užtikrindamas, kad jos slaptos operacijos liktų nepastebimos. Kenkėjiška programa gali veikti nepriklausomai nuo pradinės prieglobos programos, naudodama apgaulingą taktiką, pvz., apsimetinėjimą „Google Play“ paslaugų naujiniais, kad išlaikytų prieigą ir valdymą.
Išplėstinės duomenų rinkimo galimybės
„AridSpy“ palaiko daugybę komandų, skirtų jautriems duomenims iš pažeistų įrenginių išgauti. Jis gali slapta fiksuoti nuotraukas naudodamas įrenginio priekinę kamerą tam tikromis sąlygomis, pvz., akumuliatoriaus įkrovos lygiu ir laiku nuo paskutinio fotografavimo, iliustruodamas kenkėjiškos programos invazinio stebėjimo galimybes.
AridSpy kampanija pabrėžia nuolatinę grėsmę, kurią kelia sudėtingos mobiliojo šnipinėjimo operacijos. Kadangi grėsmės subjektai ir toliau diegia naujoves ir pritaiko savo strategijas, budrumas ir aktyvios saugumo priemonės išlieka itin svarbios siekiant sumažinti su tokiomis pažangiomis kibernetinėmis grėsmėmis susijusią riziką.
