{"id":1197864,"date":"2024-06-13T15:32:54","date_gmt":"2024-06-13T17:32:54","guid":{"rendered":"https:\/\/teknomers.com\/fr\/arid-viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel-malveillant-aridspy\/"},"modified":"2024-06-13T15:32:58","modified_gmt":"2024-06-13T17:32:58","slug":"arid-viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel-malveillant-aridspy","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/arid-viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel-malveillant-aridspy\/","title":{"rendered":"Arid Viper lance une campagne d&#8217;espionnage mobile avec le logiciel malveillant AridSpy"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">13 juin 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><span class=\"p-tags\">Intelligence sur les menaces\/s\u00e9curit\u00e9 mobile<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Arid-Viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>L&#8217;acteur mena\u00e7ant connu sous le nom de <strong>Vip\u00e8re aride<\/strong> a \u00e9t\u00e9 attribu\u00e9 \u00e0 une campagne d&#8217;espionnage mobile qui exploite des applications Android trojanis\u00e9es pour diffuser une souche de logiciel espion baptis\u00e9e AridSpy.<\/p>\n<p>&#8220;Le malware est distribu\u00e9 via des sites Web d\u00e9di\u00e9s se faisant passer pour diverses applications de messagerie, une application d&#8217;opportunit\u00e9 d&#8217;emploi et une application d&#8217;\u00e9tat civil palestinien&#8221;, a d\u00e9clar\u00e9 Luk\u00e1\u0161 \u0160tefanko, chercheur d&#8217;ESET. <a rel=\"nofollow noopener\" href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/arid-viper-poisons-android-apps-with-aridspy\/\" target=\"_blank\">dit<\/a> dans un rapport publi\u00e9 aujourd&#8217;hui.  &#8220;Souvent, il s&#8217;agit d&#8217;applications existantes qui ont \u00e9t\u00e9 transform\u00e9es en chevaux de Troie par l&#8217;ajout du code malveillant d&#8217;AridSpy.&#8221;<\/p>\n<p>L&#8217;activit\u00e9 aurait dur\u00e9 jusqu&#8217;\u00e0 cinq campagnes depuis 2022, avec des variantes ant\u00e9rieures d&#8217;AridSpy document\u00e9es par <a rel=\"nofollow noopener\" href=\"https:\/\/www.zimperium.com\/blog\/new-advanced-android-malware-posing-as-system-update\/\" target=\"_blank\">Zimp\u00e9rium<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/www.ctfiot.com\/106664.html\" target=\"_blank\">360 laboratoires de balises<\/a>.  Trois des cinq campagnes sont toujours actives.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/1p-d-v3\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Vulnerabilite-Azure-Service-Tags-Microsoft-met-en-garde-contre-un.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Arid Viper, un suspect <a rel=\"nofollow noopener\" href=\"https:\/\/research.checkpoint.com\/2020\/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened\/\" target=\"_blank\">Acteur affili\u00e9 au Hamas<\/a> \u00e9galement appel\u00e9 APT-C-23, Desert Falcon, Grey Karkadann, Mantis et Two-tailed Scorpion, a une longue exp\u00e9rience dans l&#8217;utilisation de logiciels malveillants mobiles depuis son \u00e9mergence en 2017.<\/p>\n<p>&#8220;Arid Viper a toujours cibl\u00e9 le personnel militaire du Moyen-Orient, ainsi que les journalistes et les dissidents&#8221;, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/arid-viper-apts-nest-of-spyc23-malware-continues-to-target-android-devices\/\" target=\"_blank\">not\u00e9<\/a> \u00e0 la fin de l&#8217;ann\u00e9e derni\u00e8re, ajoutant que le groupe &#8220;continue de prosp\u00e9rer dans le domaine des logiciels malveillants mobiles&#8221;.<\/p>\n<p>L&#8217;analyse par ESET de la derni\u00e8re version d&#8217;AridSpy montre qu&#8217;elle a \u00e9t\u00e9 transform\u00e9e en un cheval de Troie \u00e0 plusieurs \u00e9tapes capable de t\u00e9l\u00e9charger des charges utiles suppl\u00e9mentaires \u00e0 partir d&#8217;un serveur de commande et de contr\u00f4le (C2) par l&#8217;application initiale trojanis\u00e9e.<\/p>\n<p>Les cha\u00eenes d&#8217;attaque visent principalement les utilisateurs en Palestine et en \u00c9gypte via de faux sites qui fonctionnent comme des points de distribution pour les applications pi\u00e9g\u00e9es.<\/p>\n<p>Certaines des applications fausses mais fonctionnelles pr\u00e9tendent \u00eatre des services de messagerie s\u00e9curis\u00e9s tels que LapizaChat, NortirChat et ReblyChat, chacun \u00e9tant bas\u00e9 sur des applications l\u00e9gitimes comme StealthChat, Session et Voxer Walkie Talkie Messenger, tandis qu&#8217;une autre application pr\u00e9tend provenir de le registre civil palestinien.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718299973_973_Arid-Viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/1718299973_973_Arid-Viper-lance-une-campagne-despionnage-mobile-avec-le-logiciel.png\" alt=\"Logiciel malveillant AridSpy\" border=\"0\" data-original-height=\"720\" data-original-width=\"728\" title=\"Logiciel malveillant AridSpy\"\/><\/a><\/div>\n<p>Le site Internet de l&#8217;\u00e9tat civil palestinien (\u00ab palcivilreg[.]com&#8221;), qui a \u00e9t\u00e9 enregistr\u00e9 le 30 mai 2023, a \u00e9galement \u00e9t\u00e9 annonc\u00e9 via un <a rel=\"nofollow noopener\" href=\"https:\/\/www.facebook.com\/people\/%D8%A7%D9%84%D8%B3%D8%AC%D9%84-%D8%A7%D9%84%D9%85%D8%AF%D9%86%D9%8A-%D8%A7%D9%84%D9%81%D9%84%D8%B3%D8%B7%D9%8A%D9%86%D9%8A\/100094945850705\/\" target=\"_blank\">page Facebook d\u00e9di\u00e9e<\/a> qui compte 179 abonn\u00e9s.  L&#8217;application diffus\u00e9e via le site Web s&#8217;inspire de <a rel=\"nofollow noopener\" href=\"https:\/\/play.google.com\/store\/apps\/details?id=com.zezsoft.palestinearchive\" target=\"_blank\">une application du m\u00eame nom<\/a> qui est disponible sur le Google Play Store.<\/p>\n<p>&#8220;L&#8217;application malveillante disponible sur palcivilreg[.]com n&#8217;est pas une version trojanis\u00e9e de l&#8217;application sur Google Play\u00a0;  cependant, il utilise le serveur l\u00e9gitime de cette application pour r\u00e9cup\u00e9rer des informations&#8221;, a d\u00e9clar\u00e9 \u0160tefanko. &#8220;Cela signifie qu&#8217;Arid Viper s&#8217;est inspir\u00e9 des fonctionnalit\u00e9s de cette application mais a cr\u00e9\u00e9 sa propre couche client qui communique avec le serveur l\u00e9gitime.&#8221;<\/p>\n<p>ESET a d\u00e9clar\u00e9 avoir d\u00e9couvert en outre qu&#8217;AridSpy \u00e9tait diffus\u00e9 sous le couvert d&#8217;une application d&#8217;opportunit\u00e9 d&#8217;emploi \u00e0 partir d&#8217;un site Web (\u00ab\u00a0almoshell[.]website&#8221;) enregistr\u00e9 en ao\u00fbt 2023. Un aspect notable de l&#8217;application est qu&#8217;elle n&#8217;est bas\u00e9e sur aucune application l\u00e9gitime.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/ad-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/06\/Sticky-Werewolf-etend-ses-cibles-de-cyberattaques-en-Russie-et.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Lors de l&#8217;installation, l&#8217;application malveillante v\u00e9rifie la pr\u00e9sence de logiciels de s\u00e9curit\u00e9 par rapport \u00e0 une liste cod\u00e9e en dur et proc\u00e8de ensuite au t\u00e9l\u00e9chargement d&#8217;une charge utile de premi\u00e8re \u00e9tape uniquement si aucun d&#8217;entre eux n&#8217;est install\u00e9 sur l&#8217;appareil.  La charge utile usurpe l&#8217;identit\u00e9 d&#8217;une mise \u00e0 jour de <a rel=\"nofollow noopener\" href=\"https:\/\/support.google.com\/googleplay\/answer\/9037938?hl=en\" target=\"_blank\">Services Google\u00a0Play<\/a>.<\/p>\n<p>&#8220;Cette charge utile fonctionne s\u00e9par\u00e9ment, sans qu&#8217;il soit n\u00e9cessaire d&#8217;installer l&#8217;application trojanis\u00e9e sur le m\u00eame appareil&#8221;, a expliqu\u00e9 \u0160tefanko.  &#8220;Cela signifie que si la victime d\u00e9sinstalle l&#8217;application initiale du cheval de Troie, par exemple LapizaChat, AridSpy ne sera en aucun cas affect\u00e9.&#8221;<\/p>\n<p>La principale responsabilit\u00e9 de la premi\u00e8re \u00e9tape est de t\u00e9l\u00e9charger le composant de l&#8217;\u00e9tape suivante, qui h\u00e9berge la fonctionnalit\u00e9 malveillante et utilise un domaine Firebase \u00e0 des fins C2.<\/p>\n<p>Le malware prend en charge un large \u00e9ventail de commandes pour collecter des donn\u00e9es sur les appareils et peut m\u00eame se d\u00e9sactiver ou effectuer une exfiltration avec un forfait de donn\u00e9es mobiles.  L&#8217;exfiltration des donn\u00e9es est initi\u00e9e soit au moyen d&#8217;une commande, soit lorsqu&#8217;un \u00e9v\u00e9nement sp\u00e9cifiquement d\u00e9fini est d\u00e9clench\u00e9.<\/p>\n<p>&#8220;Si la victime verrouille ou d\u00e9verrouille le t\u00e9l\u00e9phone, AridSpy prendra une photo \u00e0 l&#8217;aide de la cam\u00e9ra frontale et l&#8217;enverra au serveur C&#038;C d&#8217;exfiltration&#8221;, a d\u00e9clar\u00e9 \u0160tefanko.  &#8220;Les photos ne sont prises que si plus de 40 minutes se sont \u00e9coul\u00e9es depuis la derni\u00e8re photo et si le niveau de la batterie est sup\u00e9rieur \u00e0 15 %.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/06\/arid-viper-launches-mobile-espionage.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80213 juin 2024\ue804R\u00e9dactionIntelligence sur les menaces\/s\u00e9curit\u00e9 mobile L&#8217;acteur mena\u00e7ant connu sous le nom de Vip\u00e8re aride a \u00e9t\u00e9 attribu\u00e9 \u00e0 une campagne d&#8217;espionnage mobile qui exploite des applications Android trojanis\u00e9es pour diffuser une souche de logiciel espion baptis\u00e9e AridSpy. &#8220;Le malware est distribu\u00e9 via des sites Web d\u00e9di\u00e9s se faisant passer pour diverses applications de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1197865,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,154480,235799,84,2930,4168,4165,4161,200267,10729,4159,4171,1647,6816,200271,7733,200268,15569,200269,200270,128318,4172,4169,196,4166,49092,4164],"class_list":["post-1197864","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-arid","tag-aridspy","tag-avec","tag-campagne","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-despionnage","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-lance","tag-logiciel","tag-logiciel-malveillant-rancongiciel","tag-malveillant","tag-mises-a-jour-sur-la-cybersecurite","tag-mobile","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-une","tag-violation-de-donnees","tag-viper","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197864","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1197864"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1197864\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1197865"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1197864"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1197864"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1197864"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}