{"id":1236318,"date":"2024-06-13T18:08:02","date_gmt":"2024-06-13T18:08:02","guid":{"rendered":"https:\/\/teknomers.com\/es\/arid-viper-lanza-una-campana-de-espionaje-movil-con-el-malware-aridspy\/"},"modified":"2024-06-13T18:08:06","modified_gmt":"2024-06-13T18:08:06","slug":"arid-viper-lanza-una-campana-de-espionaje-movil-con-el-malware-aridspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/arid-viper-lanza-una-campana-de-espionaje-movil-con-el-malware-aridspy\/","title":{"rendered":"Arid Viper lanza una campa\u00f1a de espionaje m\u00f3vil con el malware AridSpy"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 de junio de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Inteligencia contra amenazas\/Seguridad m\u00f3vil<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Arid-Viper-lanza-una-campana-de-espionaje-movil-con-el.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El actor de amenazas conocido como <strong>V\u00edbora \u00e1rida<\/strong> se ha atribuido a una campa\u00f1a de espionaje m\u00f3vil que aprovecha aplicaciones troyanizadas de Android para entregar una cepa de software esp\u00eda denominada AridSpy.<\/p>\n<p>&#8220;El malware se distribuye a trav\u00e9s de sitios web dedicados que se hacen pasar por varias aplicaciones de mensajer\u00eda, una aplicaci\u00f3n de oportunidades laborales y una aplicaci\u00f3n del Registro Civil Palestino&#8221;, dijo el investigador de ESET Luk\u00e1\u0161 \u0160tefanko. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/arid-viper-poisons-android-apps-with-aridspy\/\" target=\"_blank\">dicho<\/a> en un informe publicado hoy.  &#8220;A menudo se trata de aplicaciones existentes que han sido troyanizadas mediante la adici\u00f3n del c\u00f3digo malicioso de AridSpy&#8221;.<\/p>\n<p>Se dice que la actividad abarc\u00f3 hasta cinco campa\u00f1as desde 2022, con variantes anteriores de AridSpy documentadas por <a rel=\"nofollow noopener\" href=\"https:\/\/www.zimperium.com\/blog\/new-advanced-android-malware-posing-as-system-update\/\" target=\"_blank\">Zimperio<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.ctfiot.com\/106664.html\" target=\"_blank\">Laboratorios de baliza 360<\/a>.  Tres de las cinco campa\u00f1as siguen activas.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718090157_926_Snowflake-Breach-expone-los-datos-de-165-clientes-en-una.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Arid Viper, una sospechosa <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2020\/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened\/\" target=\"_blank\">Actor afiliado a Ham\u00e1s<\/a> quien tambi\u00e9n se llama APT-C-23, Desert Falcon, Gray Karkadann, Mantis y Two-tailed Scorpion, tiene un largo historial de uso de malware m\u00f3vil desde su aparici\u00f3n en 2017.<\/p>\n<p>&#8220;Hist\u00f3ricamente, Arid Viper ha atacado a personal militar en Medio Oriente, as\u00ed como a periodistas y disidentes&#8221;, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices\/\" target=\"_blank\">anotado<\/a> A fines del a\u00f1o pasado, agreg\u00f3 que el grupo &#8220;contin\u00faa prosperando en el espacio del malware m\u00f3vil&#8221;.<\/p>\n<p>El an\u00e1lisis de ESET de la \u00faltima versi\u00f3n de AridSpy muestra que se ha transformado en un troyano de varias etapas que puede descargar cargas \u00fatiles adicionales desde un servidor de comando y control (C2) mediante la aplicaci\u00f3n troyana inicial.<\/p>\n<p>Las cadenas de ataques implican principalmente atacar a usuarios en Palestina y Egipto a trav\u00e9s de sitios falsos que funcionan como puntos de distribuci\u00f3n para las aplicaciones trampa.<\/p>\n<p>Algunas de las aplicaciones falsas pero funcionales afirman ser servicios de mensajer\u00eda seguros, como LapizaChat, NortirChat y ReblyChat, cada uno de los cuales se basa en aplicaciones leg\u00edtimas como StealthChat, Session y Voxer Walkie Talkie Messenger, mientras que otra aplicaci\u00f3n pretende ser de el Registro Civil Palestino.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718302081_570_Arid-Viper-lanza-una-campana-de-espionaje-movil-con-el.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/1718302081_570_Arid-Viper-lanza-una-campana-de-espionaje-movil-con-el.png\" alt=\"Software malicioso AridSpy\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Software malicioso AridSpy\"\/><\/a><\/div>\n<p>El sitio web del Registro Civil Palestino (&#8220;palcivilreg[.]com&#8221;), que se registr\u00f3 el 30 de mayo de 2023, tambi\u00e9n se anuncia a trav\u00e9s de un <a rel=\"nofollow noopener\" href=\"https:\/\/www.facebook.com\/people\/%D8%A7%D9%84%D8%B3%D8%AC%D9%84-%D8%A7%D9%84%D9%85%D8%AF%D9%86%D9%8A-%D8%A7%D9%84%D9%81%D9%84%D8%B3%D8%B7%D9%8A%D9%86%D9%8A\/100094945850705\/\" target=\"_blank\">p\u00e1gina de facebook dedicada<\/a> que tiene 179 seguidores.  La aplicaci\u00f3n propagada a trav\u00e9s del sitio web est\u00e1 inspirada en <a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.zezsoft.palestinearchive\" target=\"_blank\">una aplicaci\u00f3n del mismo nombre<\/a> que est\u00e1 disponible en Google Play Store.<\/p>\n<p>&#8220;La aplicaci\u00f3n maliciosa disponible en palcivilreg[.]com no es una versi\u00f3n troyanizada de la aplicaci\u00f3n en Google Play;  sin embargo, utiliza el servidor leg\u00edtimo de esa aplicaci\u00f3n para recuperar informaci\u00f3n&#8221;, dijo \u0160tefanko. &#8220;Esto significa que Arid Viper se inspir\u00f3 en la funcionalidad de esa aplicaci\u00f3n pero cre\u00f3 su propia capa de cliente que se comunica con el servidor leg\u00edtimo&#8221;.<\/p>\n<p>ESET dijo que descubri\u00f3 adem\u00e1s que AridSpy se difund\u00eda bajo la apariencia de una aplicaci\u00f3n de oportunidades laborales desde un sitio web (&#8220;almoshell[.]sitio web&#8221;) registrado en agosto de 2023. Un aspecto notable de la aplicaci\u00f3n es que no se basa en ninguna aplicaci\u00f3n leg\u00edtima.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-amplia-los-objetivos-de-los-ciberataques-en-Rusia.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Tras la instalaci\u00f3n, la aplicaci\u00f3n maliciosa busca la presencia de software de seguridad en una lista codificada y contin\u00faa descargando una carga \u00fatil de primera etapa solo si ninguno de ellos est\u00e1 instalado en el dispositivo.  La carga \u00fatil se hace pasar por una actualizaci\u00f3n de <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/googleplay\/answer\/9037938?hl=en\" target=\"_blank\">Servicios de Google Play<\/a>.<\/p>\n<p>&#8220;Esta carga \u00fatil funciona por separado, sin necesidad de tener la aplicaci\u00f3n troyanizada instalada en el mismo dispositivo&#8221;, explic\u00f3 \u0160tefanko.  &#8220;Esto significa que si la v\u00edctima desinstala la aplicaci\u00f3n troyanizada inicial, por ejemplo LapizaChat, AridSpy no se ver\u00e1 afectado de ninguna manera&#8221;.<\/p>\n<p>La principal responsabilidad de la primera etapa es descargar el componente de la siguiente etapa, que alberga la funcionalidad maliciosa y utiliza un dominio de Firebase para fines C2.<\/p>\n<p>El malware admite una amplia gama de comandos para recopilar datos de los dispositivos e incluso puede desactivarse o realizar una exfiltraci\u00f3n cuando tiene un plan de datos m\u00f3viles.  La exfiltraci\u00f3n de datos se inicia mediante un comando o cuando se activa un evento espec\u00edficamente definido.<\/p>\n<p>&#8220;Si la v\u00edctima bloquea o desbloquea el tel\u00e9fono, AridSpy tomar\u00e1 una fotograf\u00eda con la c\u00e1mara frontal y la enviar\u00e1 al servidor C&#038;C de exfiltraci\u00f3n&#8221;, dijo \u0160tefanko.  &#8220;Las fotograf\u00edas se toman s\u00f3lo si han pasado m\u00e1s de 40 minutos desde la \u00faltima fotograf\u00eda y el nivel de la bater\u00eda est\u00e1 por encima del 15%&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/arid-viper-launches-mobile-espionage.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 de junio de 2024\ue804Sala de redacci\u00f3nInteligencia contra amenazas\/Seguridad m\u00f3vil El actor de amenazas conocido como V\u00edbora \u00e1rida<\/p>\n","protected":false},"author":1,"featured_media":1236319,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,154978,236785,4661,3372,4664,99,10315,4662,4668,543,201033,4669,14117,4654,201031,4659,4653,4655,4666,4665,201032,158,91706,4660],"class_list":["post-1236318","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-arid","tag-aridspy","tag-ataques-ciberneticos","tag-campana","tag-como-hackear","tag-con","tag-espionaje","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-lanza","tag-las-noticias-de-los-piratas-informaticos","tag-malware","tag-movil","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-una","tag-viper","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1236318","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1236318"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1236318\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1236319"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1236318"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1236318"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1236318"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}