Carding 4 Carders
Professional
Злоумышленник, известный как Arid Viper (он же APT-C-23, Desert Falcon или TAG-63), стоял за шпионской кампанией Android, нацеленной на арабоязычных пользователей, с помощью поддельного приложения для знакомств, предназначенного для сбора данных с зараженных телефонов.
"Вредоносная программа Arid Viper для Android обладает рядом функций, которые позволяют операторам тайно собирать конфиденциальную информацию с устройств жертв и развертывать дополнительные исполняемые файлы", - сказал Cisco Talos в отчете во вторник.
Действующее как минимум с 2017 года, Arid Viper - это кибершпионаж, связанный с Хамасом, исламистским воинствующим движением, которое управляет сектором Газа. Компания по кибербезопасности заявила, что нет никаких доказательств, связывающих кампанию с продолжающейся войной между Израилем и ХАМАС.
Считается, что активность началась не ранее апреля 2022 года.
Интересно, что исходник вредоносного ПО для мобильных устройств схож с исходным кодом не вредоносного приложения для онлайн-знакомств Skipped, что позволяет предположить, что операторы либо связаны с разработчиком последнего, либо сумели скопировать его функции в попытке обмана.
Использование, казалось бы, безопасных приложений для чата для доставки вредоносного ПО "соответствует тактике "медовой ловушки", используемой Arid Viper в прошлом", которая прибегала к использованию поддельных профилей на платформах социальных сетей, чтобы обманом заставить потенциальных целей установить их.
Cisco Talos заявила, что также выявила обширную сеть компаний, создающих приложения на тему знакомств, похожие или идентичные Skipped, которые можно загрузить из официальных магазинов приложений для Android и iOS.
После установки вредоносное ПО скрывается на компьютере жертвы, отключая системные уведомления или уведомления о безопасности в операционной системе, а также отключает уведомления на мобильных устройствах Samsung и на любом телефоне Android с названием пакета APK, содержащим слово "безопасность", чтобы остаться незамеченным.
Оно также предназначено для запроса навязчивых разрешений на запись аудио и видео, чтение контактов, доступ к журналам вызовов, перехват SMS-сообщений, изменение настроек Wi-Fi, завершение работы фоновых приложений, фотосъемку и создание системных оповещений.
Среди других примечательных функций имплантата - возможность извлекать системную информацию, получать обновленный домен C2 с текущего сервера C2, а также загружать дополнительные вредоносные программы, которые маскируются под законные приложения, такие как Facebook Messenger, Instagram и WhatsApp.
Разработка происходит после того, как в будущем были обнаружены признаки возможной связи Arid Viper с Хамасом из-за сбоев в инфраструктуре, связанных с Android-приложением под названием Al Qassam, которое было распространено в Telegram-канале, утверждающем о принадлежности к "Бригадам Изз ад-Дина аль-Кассама", военному крылу ХАМАСА.
"Они указывают не только на возможный сбой в операционной безопасности, но и на владение инфраструктурой, разделяемой группами", - заявили в компании. "Одна из возможных гипотез, объясняющих это наблюдение, заключается в том, что TAG-63 разделяет инфраструктурные ресурсы с остальной частью организации ХАМАС".
"Вредоносная программа Arid Viper для Android обладает рядом функций, которые позволяют операторам тайно собирать конфиденциальную информацию с устройств жертв и развертывать дополнительные исполняемые файлы", - сказал Cisco Talos в отчете во вторник.
Действующее как минимум с 2017 года, Arid Viper - это кибершпионаж, связанный с Хамасом, исламистским воинствующим движением, которое управляет сектором Газа. Компания по кибербезопасности заявила, что нет никаких доказательств, связывающих кампанию с продолжающейся войной между Израилем и ХАМАС.
Считается, что активность началась не ранее апреля 2022 года.
Интересно, что исходник вредоносного ПО для мобильных устройств схож с исходным кодом не вредоносного приложения для онлайн-знакомств Skipped, что позволяет предположить, что операторы либо связаны с разработчиком последнего, либо сумели скопировать его функции в попытке обмана.
Использование, казалось бы, безопасных приложений для чата для доставки вредоносного ПО "соответствует тактике "медовой ловушки", используемой Arid Viper в прошлом", которая прибегала к использованию поддельных профилей на платформах социальных сетей, чтобы обманом заставить потенциальных целей установить их.
Cisco Talos заявила, что также выявила обширную сеть компаний, создающих приложения на тему знакомств, похожие или идентичные Skipped, которые можно загрузить из официальных магазинов приложений для Android и iOS.
- VIVIO - Чат, флирт и знакомства (доступно в Apple App Store)
- Meeted (ранее Joostly) - Флирт, чат и знакомства (доступно в Apple App Store)
- SKIPPED - Чат, знакомства (50 000 загрузок в Google Play Store)
- Joostly - приложение для знакомств! Одиночки (10 000 загрузок в Google Play)
После установки вредоносное ПО скрывается на компьютере жертвы, отключая системные уведомления или уведомления о безопасности в операционной системе, а также отключает уведомления на мобильных устройствах Samsung и на любом телефоне Android с названием пакета APK, содержащим слово "безопасность", чтобы остаться незамеченным.
Оно также предназначено для запроса навязчивых разрешений на запись аудио и видео, чтение контактов, доступ к журналам вызовов, перехват SMS-сообщений, изменение настроек Wi-Fi, завершение работы фоновых приложений, фотосъемку и создание системных оповещений.
Среди других примечательных функций имплантата - возможность извлекать системную информацию, получать обновленный домен C2 с текущего сервера C2, а также загружать дополнительные вредоносные программы, которые маскируются под законные приложения, такие как Facebook Messenger, Instagram и WhatsApp.
Разработка происходит после того, как в будущем были обнаружены признаки возможной связи Arid Viper с Хамасом из-за сбоев в инфраструктуре, связанных с Android-приложением под названием Al Qassam, которое было распространено в Telegram-канале, утверждающем о принадлежности к "Бригадам Изз ад-Дина аль-Кассама", военному крылу ХАМАСА.
"Они указывают не только на возможный сбой в операционной безопасности, но и на владение инфраструктурой, разделяемой группами", - заявили в компании. "Одна из возможных гипотез, объясняющих это наблюдение, заключается в том, что TAG-63 разделяет инфраструктурные ресурсы с остальной частью организации ХАМАС".
