Arid Viper (diğer adıyla APT-C-23, Desert Falcon veya TAG-63) olarak bilinen tehdit aktörünün, virüslü telefonlardan veri toplamak için tasarlanmış sahte bir arkadaşlık uygulamasıyla Arapça konuşan kullanıcıları hedef alan bir Android casus yazılım kampanyasının arkasında olduğu düşünülüyor.
Cisco Talos, “Arid Viper’ın Android kötü amaçlı yazılımı, operatörlerin kurbanların cihazlarından hassas bilgileri gizlice toplamasına ve ek yürütülebilir dosyalar dağıtmasına olanak tanıyan bir dizi özelliğe sahip.” söz konusu Salı günü yayınlanan bir raporda.
En az 2017’den beri aktif olan Kurak Engerek, ile uyumlu bir siber casusluktur. HamasGazze Şeridi’ni yöneten İslamcı militan bir hareket. Siber güvenlik firması, kampanyayı devam ediyor İsrail-Hamas savaşı.
Faaliyetin Nisan 2022’den daha erken başlamadığına inanılıyor.
İlginç bir şekilde, mobil kötü amaçlı yazılım, Skipped adlı kötü amaçlı olmayan bir çevrimiçi flört uygulamasıyla kaynak kodu benzerlikleri paylaşıyor; bu da operatörlerin ya uygulamanın geliştiricisiyle bağlantılı olduğunu ya da aldatma amacıyla bu uygulamanın özelliklerini kopyalamayı başardığını öne sürüyor.
Görünüşte zararsız sohbet uygulamalarının kötü amaçlı yazılım dağıtmak için kullanılması, “geçmişte Arid Viper tarafından kullanılan ‘bal tuzağı’ taktikleriyle aynı doğrultudadır”; bu taktik, sosyal medya platformlarındaki sahte profillerden yararlanarak potansiyel hedefleri kandırarak onları yüklemeye yöneltmiştir.
Cisco Talos, aynı zamanda Skipped’a benzeyen veya aynı olan ve Android ve iOS için resmi uygulama mağazalarından indirilebilen flört temalı uygulamalar oluşturan genişletilmiş bir şirket ağının da tespit edildiğini söyledi.
- VIVIO – Sohbet et, flört et ve flört et (Apple App Store’da mevcut)
- Meeted (önceden Joostly) – Flört, Sohbet ve Flört (Apple App Store’da mevcut)
- SKIPPED – Sohbet, Eşleşme ve Flört (Google Play Store’da 50.000 indirme)
- Joostly – Flört Uygulaması! Bekarlar (Google Play’de 10.000 indirme)
Şirket, simüle edilmiş flört uygulamaları dizisinin, “Kurak Viper operatörlerinin gelecekteki kötü amaçlı kampanyalarda bu ek uygulamalardan yararlanmaya çalışabileceği” olasılığını artırdığını belirtti.
Kötü amaçlı yazılım yüklendikten sonra, işletim sisteminden gelen sistemi veya güvenlik bildirimlerini kapatarak kurbanın makinesinde gizlenir ve ayrıca Samsung mobil cihazlarında ve altında uçmak için “güvenlik” kelimesini içeren APK paket adına sahip herhangi bir Android telefondaki bildirimleri devre dışı bırakır. radar.
Ayrıca ses ve video kaydetme, kişileri okuma, çağrı kayıtlarına erişme, SMS mesajlarına müdahale etme, Wi-Fi ayarlarını değiştirme, arka plan uygulamalarını sonlandırma, fotoğraf çekme ve sistem uyarıları oluşturma gibi izinsiz izinler istemek üzere tasarlanmıştır.
İmplantın diğer dikkate değer özellikleri arasında sistem bilgilerini alma, mevcut C2 sunucusundan güncellenmiş bir komuta ve kontrol (C2) alanı alma ve ayrıca Facebook Messenger gibi meşru uygulamalar olarak kamufle edilen ek kötü amaçlı yazılım indirme yeteneği yer alıyor. Instagram ve WhatsApp.
Bu gelişme, Recorded Future’ın, bir Telegram kanalında dağıtılan ve Hamas’la bağlantısı olduğu iddia edilen Al Qassam adlı bir Android uygulamasıyla ilgili altyapı çakışmaları yoluyla Arid Viper’ı Hamas’a bağlayabileceğine dair işaretlerin ortaya çıkmasıyla ortaya çıktı. İzzeddin El Kassam TugaylarıHamas’ın askeri kanadı.
Şirket, “Bunlar yalnızca operasyonel güvenlikte olası bir kaymayı değil, aynı zamanda gruplar arasında paylaşılan altyapının sahipliğini de gösteriyor.” söz konusu. “Bu gözlemi açıklayan olası bir hipotez, TAG-63’ün altyapı kaynaklarını Hamas örgütünün geri kalanıyla paylaştığıdır.”
