Группировка кибершпионажа Arid Viper, известная также под именами APT-C-23, Desert Falcon и TAG-63, атакует арабоязычных пользователей Android с помощью поддельного приложения знакомств. Программа маскируется под безобидный сервис для флирта, а на деле собирает конфиденциальные данные с заражённых устройств.
Кто стоит за атакой
По данным отчёта Cisco Talos, опубликованного во вторник, Arid Viper действует как минимум с 2017 года и связана с ХАМАС — исламистским движением, контролирующим сектор Газа. При этом исследователи подчеркнули: доказательств связи текущей кампании с продолжающейся войной Израиля и ХАМАС нет. Активность вредоносного ПО, по оценке специалистов, началась не раньше апреля 2022 года.
Клон настоящего приложения
Любопытная деталь: вредоносное ПО для Android совпадает по коду с легитимным приложением знакомств Skipped. Это может означать, что операторы Arid Viper связаны с разработчиком Skipped либо просто скопировали его функциональность ради маскировки.
Использование внешне безобидных чат-приложений для доставки малвари вписывается в почерк группировки — так называемую тактику «медовой ловушки» (honey trap), которую Arid Viper применяла и раньше, создавая фейковые профили в соцсетях для обмана жертв.
Cisco Talos также обнаружила целую сеть компаний, выпускающих похожие или идентичные дейтинг-приложения, доступные в официальных магазинах для Android и iOS:
- VIVIO — Chat, flirt & Dating (Apple App Store)
- Meeted, ранее Joostly — Flirt, Chat & Dating (Apple App Store)
- SKIPPED — Chat, Match & Dating (50 000 загрузок в Google Play)
- Joostly — Dating App! Singles (10 000 загрузок в Google Play)
Такой набор клонированных приложений говорит о том, что операторы Arid Viper могут задействовать и остальные из них в будущих атаках.
Как происходит заражение
Жертве присылают ссылку на обучающее видео о «приложении знакомств», размещённое на видеохостингах вроде YouTube. В описании ролика есть ссылка на подконтрольный злоумышленникам домен, откуда и загружается вредоносный APK-файл.
После установки вредонос скрывает свою активность, отключая системные и охранные уведомления. Отдельно он деактивирует уведомления на устройствах Samsung, а также на любых Android-телефонах, если название пакета APK содержит слово «security» — чтобы не привлекать внимание.
Что умеет вредоносное ПО
Программа запрашивает избыточные разрешения: запись аудио и видео, доступ к контактам, журналу вызовов, перехват СМС, изменение настроек Wi-Fi, завершение фоновых приложений, съёмку фото и создание системных уведомлений.
Среди прочих возможностей импланта — сбор системной информации, получение обновлённого домена управляющего сервера (C2) с текущего C2-сервера, а также загрузка дополнительного вредоносного ПО, замаскированного под легитимные приложения — Facebook Messenger, Instagram и WhatsApp.
Возможная связь с ХАМАС
Параллельно компания Recorded Future обнаружила признаки, которые могут указывать на связь Arid Viper с ХАМАС — через пересечения инфраструктуры, связанные с Android-приложением Al Qassam. Оно распространялось в Telegram-канале, заявляющем о принадлежности к «Бригадам Изз ад-Дина аль-Кассама», военному крылу ХАМАС.
«Это может свидетельствовать не только о возможной утечке в операционной безопасности, но и о совместном владении инфраструктурой между группировками, — отметили в Recorded Future. — Одна из гипотез заключается в том, что TAG-63 использует общие с ХАМАС инфраструктурные ресурсы».
Источник: The Hacker News.