Spesso l’apparenza inganna e quelli che sembrano essere siti legittimi, in realtà nascondono pericolose insidie. È questo il caso delle cinque campagne identificate dai ricercatori di ESET, leader europeo globale nel mercato della cybersecurity, che utilizzano app contenenti trojan per colpire gli utenti Android. Molto probabilmente condotte dal gruppo APT Arid Viper, queste campagne sono iniziate nel 2022 e tre di esse sono ancora in corso. Utilizzano uno spyware Android multistadio, che ESET ha denominato AridSpy, che scarica payload di primo e secondo livello dal proprio server di command & control (C&C) per permettergli di eludere il rilevamento. Il malware viene distribuito attraverso siti web dedicati che imitano varie app di messaggistica, un’app di offerte di lavoro e un’app del Registro Civile Palestinese. In genere, si tratta di app esistenti contenenti trojan con l’aggiunta del codice maligno di AridSpy. ESET Research ha rilevato il trojan AridSpy, controllato da remoto e focalizzato sullo spionaggio dei dati degli utenti, in Palestina e in Egitto.
L’identikit di Arid Viper
Arid Viper, detto anche APT-C-23, Desert Falcons o Two-tailed Scorpion, è un gruppo di cyberspionaggio noto per aver colpito i paesi del Medio Oriente; il gruppo ha attirato l’attenzione nel corso degli anni per l’ampia gamma di malware per piattaforme Android, iOS e Windows.
Tre app compromesse distribuite tramite siti web contraffatti, sono app legittime affette da trojan con lo spyware AridSpy. Queste app dannose non sono mai state diffuse tramite Google Play e sono scaricabili esclusivamente da siti di terze parti. Per installare queste app, la potenziale vittima deve abilitare l’opzione non predefinita di Android per l’installazione di app da fonti sconosciute. La maggior parte dei casi di spyware registrati in Palestina riguardava l’app dannosa del Palestinian Civil Registry.
Ecco come venivano infettati i dispositivi degli utenti
Una delle campagne di Arid Viper includeva LapizaChat, un’app di messaggistica Android dannosa con versioni affette da trojan di StealthChat: Private Messaging in bundle con il codice maligno di AridSpy. ESET ha identificato altre due campagne che hanno iniziato a distribuire AridSpy dopo LapizaChat, questa volta presentandosi come app di messaggistica chiamate NortirChat e ReblyChat. NortirChat si basa sull’app di messaggistica legittima Session, mentre ReblyChat si basa su Voxer Walkie Talkie Messenger.
D’altro canto, l’app Palestinian Civil Registry si ispira a un’app già disponibile su Google Play. In base alle indagini dei ricercatori di ESET, l’app dannosa disponibile online non è una versione affetta da trojan dell’app presente su Google Play, ma utilizza il server legittimo dell’app per recuperare le informazioni. Ciò significa che Arid Viper si è ispirata alle funzionalità dell’app, ma ha creato un proprio livello client che comunica con il server legittimo. Molto probabilmente, Arid Viper ha effettuato il reverse engineering dell’app Android legittima da Google Play e ha utilizzato il suo server per recuperare i dati delle vittime. L’ultima campagna individuata da ESET distribuisce AridSpy come app di offerte di lavoro.
L’obiettivo di Arid Viper è l’esfiltrazione dati
AridSpy dispone di una funzione volta a evitare il rilevamento della rete, in particolare la comunicazione C&C. Può disattivarsi, come indicato nel codice di AridSpy. L’esfiltrazione dei dati viene avviata sia tramite ricezione di un comando dal server C&C di Firebase sia con l’attivazione di un evento specifico. Questi eventi includono la modifica della connettività Internet, l’installazione o la disinstallazione dell’app, l’effettuazione o la ricezione di una telefonata, l’invio o la ricezione di un messaggio SMS, la connessione o la disconnessione del caricabatterie o il riavvio del dispositivo.
Se si verifica uno di questi eventi, AridSpy inizia a raccogliere dati della vittima e li carica sul server di esfiltrazione C&C. Può raccogliere la posizione del dispositivo, gli elenchi dei contatti, i registri delle chiamate, i messaggi di testo, le miniature delle foto e dei video registrati, le telefonate registrate, l’audio ambientale registrato, le foto scattate dal malware, i database di WhatsApp contenenti i messaggi e i contatti dell’utente, i segnalibri e la cronologia delle ricerche dal browser predefinito e dalle app Chrome, Samsung Browser e Firefox, se installate, i file dalla memoria esterna, le comunicazioni di Facebook Messenger e WhatsApp e tutte le notifiche ricevute, tra le altre cose.
Dichiarazioni
“Per ottenere l’accesso iniziale al dispositivo, gli attori delle minacce cercano di convincere la potenziale vittima a installare un’app falsa, ma funzionante. Una volta che l’utente clicca sul pulsante di download del sito, myScript.js, ospitato sullo stesso server, viene eseguito per generare il percorso di download corretto per il file dannoso”, spiega Lukáš Štefanko, ricercatore ESET che ha scoperto AridSpy, descrivendo il modo in cui gli utenti vengono infettati da Arid Viper.