Se ha atribuido al actor de amenazas conocido como Arid Viper (también conocido como APT-C-23, Desert Falcon o TAG-63) estar detrás de una campaña de software espía de Android dirigida a usuarios de habla árabe con una aplicación de citas falsificada diseñada para recopilar datos de teléfonos infectados.
«El malware para Android de Arid Viper tiene una serie de características que permiten a los operadores recopilar subrepticiamente información confidencial de los dispositivos de las víctimas e implementar ejecutables adicionales», Cisco Talos dicho en un informe del martes.
Activo desde al menos 2017, Arid Viper es un ciberespionaje alineado con Hamás, un movimiento militante islamista que gobierna la Franja de Gaza. La firma de ciberseguridad dijo que no hay evidencia que conecte la campaña con el en curso Guerra entre Israel y Hamás.
Se cree que la actividad comenzó no antes de abril de 2022.
Curiosamente, el malware móvil comparte similitudes en el código fuente con una aplicación de citas en línea no maliciosa llamada Skipped, lo que sugiere que los operadores están vinculados al desarrollador de esta última o lograron copiar sus funciones en un intento de engaño.
El uso de aplicaciones de chat aparentemente benignas para distribuir malware está «en línea con las tácticas de ‘trampa de miel’ utilizadas por Arid Viper en el pasado», que ha recurrido a aprovechar perfiles falsos en plataformas de redes sociales para engañar a objetivos potenciales para que los instalen.
Cisco Talos dijo que también identificó una red extendida de empresas que crean aplicaciones con temas de citas que son similares o idénticas a Skipped y se pueden descargar desde las tiendas de aplicaciones oficiales para Android e iOS.
- VIVIO – Chat, coqueteo y citas (disponible en Apple App Store)
- Meeted (anteriormente Joostly): coqueteo, chat y citas (disponible en Apple App Store)
- SALTADO – Chat, Match y Citas (50,000 descargas en Google Play Store)
- Joostly – ¡Aplicación de citas! Solteros (10.000 descargas en Google Play)
La variedad de aplicaciones de citas simuladas ha planteado la posibilidad de que «los operadores de Arid Viper puedan intentar aprovechar estas aplicaciones adicionales en futuras campañas maliciosas», señaló la compañía.
El malware, una vez instalado, se oculta en la máquina víctima desactivando las notificaciones del sistema o de seguridad del sistema operativo y también desactiva las notificaciones en los dispositivos móviles Samsung y en cualquier teléfono Android con el nombre del paquete APK que contiene la palabra «seguridad» para volar bajo el radar.
También está diseñado para solicitar permisos intrusivos para grabar audio y video, leer contactos, acceder a registros de llamadas, interceptar mensajes SMS, alterar la configuración de Wi-Fi, finalizar aplicaciones en segundo plano, tomar fotografías y crear alertas del sistema.
Entre otras características notables del implante se incluye la capacidad de recuperar información del sistema, obtener un dominio de comando y control (C2) actualizado del servidor C2 actual, así como descargar malware adicional, que está camuflado como aplicaciones legítimas como Facebook Messenger. Instagram y WhatsApp.
El desarrollo se produce cuando Recorded Future reveló señales que posiblemente conectan a Arid Viper con Hamas a través de superposiciones de infraestructura relacionadas con una aplicación de Android llamada Al Qassam que se ha difundido en un canal de Telegram que afirma estar afiliado a Brigadas Izz ad-Din al-Qassamel ala militar de Hamás.
«Representan no sólo un posible fallo en la seguridad operativa sino también en la propiedad de la infraestructura compartida entre grupos», dijo la empresa. dicho. «Una posible hipótesis para explicar esta observación es que TAG-63 comparte recursos de infraestructura con el resto de la organización Hamás».