AridSpy 惡意軟體發起重大行動間諜活動
網路安全研究人員的最新發現顯示,由威脅行為者 Arid Viper(也稱為 APT-C-23)策劃的行動間諜活動數量驚人增加。該活動利用木馬 Android 應用程式來分發名為 AridSpy 的間諜軟體,標誌著該組織策略的重大演變。
Table of Contents
作為分發媒介的木馬應用程式
ESET 研究員 Lukáš Štefanko 發現 AridSpy 透過冒充合法應用程式的假網站滲透設備。其中包括 LapizaChat 等訊息傳遞平台和就業入口網站,以及巴勒斯坦民事登記應用程式的欺騙性複製品。這些木馬版本嵌入惡意程式碼以促進秘密資料收集和傳輸。
自 2017 年出現以來,Arid Viper 已進行了許多主要針對中東地區軍事人員、記者和持不同政見者的活動。目前的攻擊浪潮涵蓋五次有記錄的攻擊活動,截至最新報告,其中三次仍然活躍。
AridSpy 的技術見解
ESET 的分析表明,AridSpy 已發展成為一種多階段木馬,能夠從命令和控制伺服器下載額外的有效負載。這種複雜的架構使惡意軟體能夠繞過安全措施並持續存在於受感染的裝置上。
地理與社會工程策略
惡意行為者策略性地瞄準巴勒斯坦和埃及的用戶,利用文化和地區相關的應用程式來提高可信度並引誘毫無戒心的受害者下載受感染的軟體。例如,假冒的巴勒斯坦民事登記應用程式模仿合法版本的功能,同時將資料外洩到未經授權的伺服器。
操作機制和持久性
安裝後,AridSpy 透過檢查安全軟體啟動偵察,確保其秘密操作不被發現。該惡意軟體可以獨立於其初始主機應用程式運行,使用欺騙性策略,例如冒充 Google Play 服務的更新來維持存取和控制。
先進的數據收集能力
AridSpy 支援多種旨在從受感染設備中提取敏感資料的命令。它可以在特定條件下使用裝置的前置鏡頭秘密拍攝照片,例如電池電量和自上次拍攝以來的時間,這說明了惡意軟體的侵入監視能力。
AridSpy 活動強調了複雜的行動間諜活動所構成的持續威脅。隨著威脅行為者不斷創新和調整其策略,保持警惕和主動採取安全措施對於減輕與此類高階網路威脅相關的風險仍然至關重要。
