AridSpy 恶意软件发起大规模移动间谍活动

网络安全研究人员的最新发现显示，威胁行为者 Arid Viper（也称为 APT-C-23）策划的移动间谍活动数量惊人地增加。该活动使用木马化的 Android 应用程序来分发一种名为 AridSpy 的间谍软件，标志着该组织的策略发生了重大演变。

被木马感染的应用程序作为传播媒介

ESET 研究员 Lukáš Štefanko 发现，AridSpy 通过伪装成合法应用程序的假冒网站入侵设备。这些网站包括 LapizaChat 等消息平台和就业门户网站，以及巴勒斯坦民事登记处应用程序的欺骗性副本。这些木马版本嵌入了恶意代码，以促进隐蔽的数据收集和传输。

自 2017 年出现以来，Arid Viper 已发起了多起攻击活动，主要针对中东地区的军事人员、记者和异见人士。当前的攻击浪潮涵盖了五次有记录的攻击活动，截至最新报告，其中三次仍在进行中。

对 AridSpy 的技术见解

ESET 的分析显示，AridSpy 已演变为一种多阶段木马，能够从命令和控制服务器下载其他有效负载。这种复杂的架构使恶意软件能够绕过安全措施并持续存在于受感染的设备上。

地理和社会工程策略

恶意攻击者策略性地将目标锁定在巴勒斯坦和埃及的用户身上，利用文化和地区相关的应用程序来提高可信度，并诱使毫无戒心的受害者下载受感染的软件。例如，假冒的巴勒斯坦民事登记应用程序模仿合法应用程序的功能，同时将数据泄露到未经授权的服务器。

操作机制和持久性

安装后，AridSpy 会通过检查安全软件来启动侦察，确保其隐秘操作不被发现。该恶意软件可以独立于其初始主机应用程序运行，使用欺骗性策略（例如冒充 Google Play 服务更新）来保持访问和控制。

先进的数据收集能力

AridSpy 支持多种命令，旨在从受感染的设备中提取敏感数据。它可以在特定条件下使用设备的前置摄像头偷偷拍摄照片，例如电池电量和自上次拍摄以来的时间，这说明了该恶意软件的侵入性监视能力。

AridSpy 活动凸显了复杂的移动间谍活动所带来的持续威胁。随着威胁行为者不断创新和调整其策略，警惕和主动的安全措施对于减轻与此类高级网络威胁相关的风险仍然至关重要。