L’acteur malveillant connu sous le nom d’Arid Viper (alias APT-C-23, Desert Falcon ou TAG-63) a été attribué à une campagne de logiciels espions Android ciblant les utilisateurs arabophones avec une application de rencontres contrefaite conçue pour récolter des données sur des combinés infectés.
« Le malware Android d’Arid Viper possède un certain nombre de fonctionnalités qui permettent aux opérateurs de collecter subrepticement des informations sensibles sur les appareils des victimes et de déployer des exécutables supplémentaires », Cisco Talos dit dans un rapport de mardi.
Actif depuis au moins 2017, Arid Viper est un cyberespionnage qui s’aligne sur Hamas, un mouvement militant islamiste qui gouverne la bande de Gaza. La société de cybersécurité a déclaré qu’il n’y avait aucune preuve reliant la campagne au en cours Guerre Israël-Hamas.
L’activité aurait commencé au plus tôt en avril 2022.
Il est intéressant de noter que le malware mobile partage des similitudes de code source avec une application de rencontres en ligne non malveillante appelée Skipped, ce qui suggère que les opérateurs sont soit liés au développeur de cette dernière, soit ont réussi à copier ses fonctionnalités dans une tentative de tromperie.
L’utilisation d’applications de chat apparemment inoffensives pour diffuser des logiciels malveillants est « conforme à la tactique du « piège à miel » utilisée par Arid Viper dans le passé », qui a eu recours à l’exploitation de faux profils sur les plateformes de médias sociaux pour inciter des cibles potentielles à les installer.
Cisco Talos a déclaré avoir également identifié un réseau étendu d’entreprises qui créent des applications sur le thème des rencontres similaires ou identiques à Skiped et pouvant être téléchargées à partir des magasins d’applications officiels pour Android et iOS.
- VIVIO – Chat, flirt et rencontres (disponible sur l’App Store d’Apple)
- Meeted (anciennement Joostly) – Flirt, chat et rencontres (disponible sur l’App Store d’Apple)
- SAUTÉ – Chat, Match & Dating (50 000 téléchargements sur Google Play Store)
- Joostly – Application de rencontres ! Célibataires (10 000 téléchargements sur Google Play)
La gamme d’applications de rencontres simulées a soulevé la possibilité que « les opérateurs d’Arid Viper cherchent à exploiter ces applications supplémentaires dans de futures campagnes malveillantes », a noté la société.
Le malware, une fois installé, se cache sur la machine victime en désactivant les notifications système ou de sécurité du système d’exploitation et désactive également les notifications sur les appareils mobiles Samsung et sur tout téléphone Android dont le nom du package APK contient le mot « sécurité » sous lequel voler. le radar.
Il est également conçu pour demander des autorisations intrusives pour enregistrer de l’audio et de la vidéo, lire des contacts, accéder aux journaux d’appels, intercepter des messages SMS, modifier les paramètres Wi-Fi, mettre fin aux applications en arrière-plan, prendre des photos et créer des alertes système.
Parmi les autres fonctionnalités remarquables de l’implant, citons la possibilité de récupérer des informations système, d’obtenir un domaine de commande et de contrôle (C2) mis à jour à partir du serveur C2 actuel, ainsi que de télécharger des logiciels malveillants supplémentaires, camouflés en applications légitimes comme Facebook Messenger, Instagram et WhatsApp.
Ce développement intervient alors que Recorded Future a révélé des signes reliant éventuellement Arid Viper au Hamas via des chevauchements d’infrastructures liés à une application Android nommée Al Qassam qui a été diffusée sur une chaîne Telegram revendiquant son affiliation à Brigades Izz ad-Din al-Qassamla branche militaire du Hamas.
« Ils dépeignent non seulement un possible dérapage dans la sécurité opérationnelle mais aussi dans la propriété des infrastructures partagées entre les groupes », explique l’entreprise. dit. « Une hypothèse possible pour expliquer cette observation est que TAG-63 partage des ressources d’infrastructure avec le reste de l’organisation Hamas. »