AridSpy Android zlonamjerni softver

AUTOR ·

AridSpy je sofisticirani Android zlonamjerni softver koji su otkrili sigurnosni istraživači kompanije  ESET i koji se distribuira na različite načine od najmanje 2022. godine. Ovaj trojanac, koji se sa određenom pouzdanošću pripisuje naprednoj trajnoj prijetnji (eng. Advanced persistent threat – APT) Arid Viper, koja se fokusira na špijunažu podataka korisnika i aktivnosti eksfiltracije.

AridSpy

AridSpy Android zlonamjerni softver; Source: Bing Image Creator

ARIDSPY

AridSpy je zlonamjerni program koji nema nikakve veze sa legitimnim aplikacijama, ali je inspirisan njihovim mogućnostima. Prvo je privukao pažnju kada su istraživači otkrili njegovu distribuciju preko internet lokacija koje se pretvaraju da su aplikacije za traženje posla. Primarni cilj aplikacije je da preuzme podatke sa uređaja korisnika i pošalje ih na server za komandu i kontrolu.

 

Funkcionisanje

AridSpy je sofisticirani trojanski Android zlonamjerni softver koji je distribuiran na različite načine, uključujući trojanizovane aplikacije i kompromitovane internet lokacije. Ovaj zlonamjerni softver je daljinski kontrolisan trojanac koji prvenstveno fokusiran na špijunažu korisničkih podataka. Kôd zlonamjernog softvera sadrži nekoliko slojeva i komponenti dizajniranih da izbjegnu otkrivanje i održavaju postojan pristup zaraženom uređaju. Sigurnosni istraživači su otkrili šest slučajeva AridSpy zlonamjernog softvera, svi u Palestini i Egiptu, sa srednjom pouzdanošću pripisujući ga naprednoj trajnoj prijetnji (APT) Arid Viper grupi.

 

“Da bi dobili početni pristup uređaju, zlonamjerni akteri pokušavaju da ubijede svoju potencijalnu žrtvu da instalira lažnu, ali funkcionalnu aplikaciju. Kada cilj klikne na dugme za preuzimanje na stranici, myScript.js, hostovan na istom serveru, se izvršava da bi se generisala ispravna putanja za preuzimanje za zlonamjernu datoteku.”

Lukáš Štefanko, ESET researcher

 

Korisni teret prve faze AridSpy je odgovorno za preuzimanje korisnog tereta druge faze sa servera za komandu i kontrolu (C&C). Ovaj početni vektor infekcije može se pokrenuti na različite načine, uključujući trojanizovane Android aplikacije ili kompromitovane internet lokacije. Porodica zlonamjernog softvera je povezana sa šest dokumentovanih kampanja od 2022. godine.

Druga faza AridSpy zlonamjernog softvera se fokusira na eksfiltraciju podataka o žrtvama u svrhe špijunaže. Nakon uspješnog izvršenja korisnog tereta prve faze, on preuzima i dešifruje šifrovani korisni teret druge faze sa svog C&C servera. Ova komponenta je odgovorna za prikupljanje osjetljivih korisničkih informacija kao što su liste kontakata, SMS poruke, evidencije poziva, podaci o lokaciji, snimljeni ključevi, strukture datoteka i druge tekstualne informacije.

Pre nego što se prikupljeni podaci otpreme na AridSpy C&C server za eksfiltraciju, oni se čuvaju na zaraženom uređaju u određenom direktorijumu. Dobijeni podaci se čuvaju kao obični tekstualni JSON fajlovi. Svaka datoteka sadrži vrijednosti kao što su nazivi datoteka, vremenske oznake, lokacija, broj telefona i AridSpy verziju, sve podijeljene graničnikom radi lakšeg raščlanjivanja.

Kada se prikupe potrebne informacije, one se kompresuju u jednu .ZIP arhivu. Ovaj paket podataka prolazi kroz prilagođeno šifrovanje korišćenjem algoritma jedinstvenog za AridSpy pre nego što se sačuva sa nasumično generisanim imenom datoteke koje sadrži sufiks _Father.zip. Šifrovane datoteke se zatim čuvaju u istom direktorijumu kao i njihove originalne kopije otvorenog teksta, spremne za eksfiltraciju u kasnijoj fazi.

Treća i posljednja faza AridSpy zlonamjernog softvera je odgovorna za otpremanje prikupljenih podataka na C&C server. Ova komponenta komunicira sa komandnim centrom koristeći HTTP POST zahteve preko šifrovane SSL veze. Zlonamjerni softver koristi prilagođeni algoritam za šifrovanje, što otežava sigurnosnim istraživačima ili antivirusnom softveru da dešifruju i analiziraju eksfiltrirane informacije.

 

ARID VIPER APT

Arid Viper, takođe poznat kao APT-C-23, Desert Falcons ili Two-tailed Scorpion, je grupa za sajber špijunažu koja aktivno djeluje od najmanje 2013. godine. Ovaj zlonamjerni akter je prvenstveno poznat po svom velikom arsenalu zlonamjernog softvera koji cilja različite platforme kao što su Android, iOS i Windows.

Naziv Arid Viper potiče od pustinjskog okruženja u kojem ova grupa pretežno djeluje, fokusirajući se na zemlje na Bliskom istoku. APT grupa Arid Viper je privukla značajnu pažnju zbog svojih sofisticiranih taktika i tehnika. Njihove kampanje zlonamjernog softvera često su prerušene u legitimne aplikacije koje su trojanizovane zlonamjernim kôdom.

 

“Arid Viper je istorijski ciljao vojno osoblje na Bliskom istoku, kao i novinare i disidente.”

SentinelOne

 

Obimni arsenal zlonamjernog softvera Arid Viper kompanije nije ograničen samo na Android platforme. Prijavljeno je da koriste razne druge vrste zlonamjernog softvera u različite svrhe. Na primjer, poznato je da koriste trojance za daljinski pristup (RAT) i zlonamjerni softver za praćenje korisničkog unosa (eng. keyloggers) na Windows operativnim sistemima kako bi ukrali osjetljive informacije od svojih meta.

Aktivnosti grupe su dokumentovane najmanje od 2013. godine. Njihove kampanje su često dobro planirane i precizno izvedene, što istraživačima i organizacijama u oblasti bezbednosti predstavlja izazov da otkriju i ublaže prijetnje koje predstavljaju. Kampanja AridSpy je samo jedan primjer njihovih sposobnosti, pokazujući njihovu sposobnost da se prilagode i evoluiraju svoje taktike tokom vremena.

 

ZAKLJUČAK

AridSpy je sofisticirani trojanski trojanac koji je dizajnirala Arid Viper APT grupa za aktivnosti špijunaže korisničkih podataka. Ova porodica zlonamjernog softvera se aktivno održava uz više kampanja koje su primijećene u Palestini i Egiptu koje ciljaju Android uređaje. Druga faza AridSpy zlonamjernog softvera se fokusira na eksfiltraciju podataka o žrtvama, dok je treća faza odgovorna za otpremanje šifrovanih datoteka na C&C server i izvršavanje proizvoljnih sistemskih komandi.

AridSpy upotreba zamagljivanja stringova čini analizu izazovnijom, ali istraživači su uspeli da otkriju njene mogućnosti putem obrnutog inženjeringa i analize kôda. Uticaj AridSpy zlonamjernog softvera na žrtve može biti značajan, jer eksfiltrira osjetljive podatke kao što su liste kontakata, SMS poruke, evidencije poziva, informacije o lokaciji, uhvaćene ključeve, strukture datoteka i druge tekstualne podatke.

Da bi ublažili rizik od infekcije od AridSpy ili sličnih porodica zlonamjernog softvera, korisnici treba da budu oprezni kada preuzimaju aplikacije iz nepoznatih izvora i da se postaraju da njihovi uređaji budu zaštićeni renomiranim bezbjednosnim softverom. Pored toga, organizacije mogu implementirati rješenja za segmentaciju mreže i zaštitu krajnjih tačaka kako bi spriječile širenje takvih prijetnji unutar svojih mreža.

 

ZAŠTITA

Da bi korisnici i organizacije se zaštitili od AridSpy zlonamjernog softvera, evo nekoliko preporučenih koraka:

  1. Održavati sve platforme i softver ažurnim primjenom ispravki i nadogradnji na vreme. Ovo bi trebalo da bude dio standardne bezbjednosne politike. Davati prioritet ispravci poznatih iskorišćenih ranjivosti i ranjivostima nultog dana kako bi se smanjili rizici,
  2. Omogućiti antivirusnu i Google Play zaštitu na Android uređaju i uvjeriti se da se definicije potpisa brzo ažuriraju. Korištenje višeslojnog pristupa zaštite je od suštinskog značaja za obezbjeđivanje ugrožene imovine,
  3. Biti oprezan prilikom preuzimanja aplikacije iz izvora koji nisu Google Play prodavnica ili pouzdane prodavnice aplikacija. Trojanizovane aplikacije, kao što su one koje koristi AridSpy u svojim kampanjama, mogu biti prikrivene kao legitimne i mogu zahtijevati omogućavanje instalacije iz nepoznatih izvora,
  4. Izbjegavati klikove na sumnjive veze ili otvaranje priloga iz nepouzdanih izvora, posebno u elektronskoj pošti ili porukama nepoznatih pošiljalaca. Ovo bi potencijalno moglo da preuzme zlonamjerne sadržaje na korisnički uređaj,
  5. Koristiti jake i jedinstvene lozinke za sve naloge na mreži i razmisliti o primjeni autentifikaciju u dva koraka tamo gdje je dostupna da bi se omogućio dodatni nivo bezbednosti. Poznato je da AridSpy eksfiltrira podatke za prijavu, tako da je zaštita ovih akreditiva ključna,
  6. Redovno pregledati dozvole za aplikacije na Android uređaju i opozvati svaki nepotreban pristup koji je odobren instaliranim aplikacijama. Zlonamjerni softver kao što je AridSpy može zahtijevati prekomjerne dozvole koje bi se mogle koristiti u zlonamjerne svrhe,
  7. Implementirati rješenje za upravljanje mobilnim uređajima (eng. mobile device management – MDM) ili alatku za upravljanje mobilnošću preduzeća (eng. enterprise mobility management – EMM) ako su u pitanju korporativni uređaji, jer ova rješenja mogu pomoći u primjeni bezbjednosnih politika i efikasnijem upravljanju instalacijama aplikacija,
  8. Obrazovati korisnike o rizicima preuzimanja aplikacija iz nepouzdanih izvora i podstaći ih da praktikuju navike bezbjednog pregledanja na mreži. Ovo će pomoći da se minimiziraju šanse da AridSpy ili sličan zlonamjerni softver zarazi korisničke uređaje.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.