Malware AridSpy inicia grande campanha de espionagem móvel
Descobertas recentes de pesquisadores de segurança cibernética revelam um aumento alarmante nas atividades de espionagem móvel orquestradas pelo ator ameaçador Arid Viper, também conhecido como APT-C-23. Esta campanha emprega aplicativos Android trojanizados para distribuir uma variedade de spyware chamada AridSpy, marcando uma evolução significativa nas táticas do grupo.
Table of Contents
Aplicativos trojanizados como vetores de distribuição
O pesquisador da ESET, Lukáš Štefanko, identifica que o AridSpy se infiltra em dispositivos através de sites falsificados que se apresentam como aplicativos legítimos. Estas incluem plataformas de mensagens como o LapizaChat e portais de emprego, bem como réplicas enganosas da aplicação do Registo Civil Palestiniano. Essas versões trojanizadas incorporam código malicioso para facilitar a coleta e transmissão secreta de dados.
Desde o seu surgimento em 2017, o Arid Viper conduziu várias campanhas visando principalmente militares, jornalistas e dissidentes em todo o Médio Oriente. A atual onda de ataques abrange cinco campanhas documentadas, com três ainda ativas conforme os últimos relatórios.
Insights técnicos sobre AridSpy
A análise da ESET revela que o AridSpy evoluiu para um trojan de vários estágios, capaz de baixar cargas adicionais de um servidor de comando e controle. Essa arquitetura sofisticada permite que o malware contorne as medidas de segurança e persista nos dispositivos comprometidos.
Táticas de Engenharia Geográfica e Social
Os agentes maliciosos visam estrategicamente utilizadores na Palestina e no Egipto, aproveitando aplicações cultural e regionalmente relevantes para aumentar a credibilidade e atrair vítimas inocentes para que descarreguem software comprometido. Por exemplo, o aplicativo falsificado do Registro Civil Palestino imita a funcionalidade de uma contraparte legítima enquanto exfiltra dados para servidores não autorizados.
Mecânica Operacional e Persistência
Após a instalação, o AridSpy inicia o reconhecimento verificando a existência de software de segurança, garantindo que suas operações secretas permaneçam sem serem detectadas. O malware pode operar independentemente de seu aplicativo host inicial, usando táticas enganosas, como fingir atualizações do Google Play Services para manter o acesso e o controle.
Capacidades avançadas de coleta de dados
AridSpy oferece suporte a uma ampla variedade de comandos projetados para extrair dados confidenciais de dispositivos comprometidos. Ele pode capturar fotos clandestinamente usando a câmera frontal do dispositivo sob condições específicas, como nível de bateria e tempo desde a última captura, ilustrando as capacidades de vigilância invasiva do malware.
A campanha AridSpy sublinha a ameaça persistente representada pelas sofisticadas operações de espionagem móvel. À medida que os intervenientes nas ameaças continuam a inovar e a adaptar as suas estratégias, a vigilância e as medidas proativas de segurança continuam a ser críticas para mitigar os riscos associados a essas ameaças cibernéticas avançadas.
