干旱毒蛇黑客利用安卓间谍软件在埃及和巴勒斯坦进行间谍活动

网络安全提供商ESET的研究人员从2022年开始发现了五次网络间谍活动，目标是埃及和巴勒斯坦的安卓用户。

在一份新的报告中，ESET提供了有关这些攻击的更多细节，并以中等可信度将其归因于Arid Viper黑客组织。

ESET的研究人员将用于感染目标安卓应用程序的多级间谍软件命名为“AridSpy”。

被木马化的通讯应用程序

这些网络间谍活动依赖于分发网站，受害者可以从中下载并手动安装Android应用程序。

这些网站提供的一些应用程序看似是合法的聊天应用程序，但被恶意代码所感染，这些恶意代码是为间谍目的而设计的——这就是AridSpy恶意软件。

这些恶意应用程序模拟了NortirChat、LapizaChat、ReblyChat、PariberyChat和RenatChat。

当ESET发布其分析时，使用前三个被木马化的聊天应用程序的活动仍在进行中，而后两个则处于非活动状态。

“请注意，这些恶意应用程序从未通过Google Play提供，而是从第三方网站下载的。为了安装这些应用程序，潜在的受害者被要求启用非默认的Android选项来安装来自未知来源的应用程序，”ESET研究人员补充道。

假“巴勒斯坦民事登记处”

除了被木马化的通讯应用程序，AridSpy背后的黑客还使用了两个看似合法的应用程序，它们分布在同一个专门的网站上:一个是“巴勒斯坦民事登记”应用程序，另一个是阿拉伯就业机会应用程序。

前者的灵感来自于Google Play Store上已有的一款应用，而后者则纯粹是黑客的发明。

两者都包含引导受害者安装AridSpy代码的恶意链接。

AridSpy的技术特点

此前对Zimperium在2021年和360 Beacon Labs在2022年对当时未命名的AridSpy进行的分析显示，之前版本的间谍软件只包含一个阶段。值得注意的是，它参与了针对2022年12月卡塔尔国际足联世界杯的恶意活动。

ESET博客透露，该间谍软件已经发展成为一个更高级的有效载荷，包括一个三阶段的木马，以及由初始木马化应用程序从命令和控制(C2)服务器下载的额外有效载荷。

第二级有效载荷的目的是通过受害者数据泄露进行间谍活动。

AridSpy也有一个硬编码的内部版本号，不同于这五个活动和之前披露的其他样本。

ESET的研究人员补充说:“这些信息表明，AridSpy仍在维护中，可能会收到更新或功能更改。”

ESET对AridSpy进行了更详细的技术分析。

受害者学与归因

研究人员发现了6次AridSpy攻击，目标都是巴勒斯坦和埃及的用户。

在巴勒斯坦注册的大多数间谍软件实例都是针对恶意的巴勒斯坦民事登记应用程序，还有一个检测不属于本文中提到的任何活动的一部分。

然后我们在埃及发现了相同的第一级有效载荷，但包名不同。在埃及还发现了另一个第一级有效载荷，它使用与LapizaChat和工作机会活动中的样本相同的[C2]服务器，”ESET博客写道。

ESET将其归因于Arid Viper是基于两个指标:

• AridSpy的目标是巴勒斯坦和埃及的组织，这符合Arid Viper的典型目标

• 多个AridSpy分发网站使用名为myScript.js的独特恶意JavaScript文件，该文件先前已被360 Beacon Labs和FOFA网络搜索引擎链接到Arid Viper

谁是干旱毒蛇的幕后黑手?

Arid Viper，也被称为APT-C-23、沙漠猎鹰或双尾蝎子，是一个网络间谍组织，至少从2013年开始就一直以中东国家为目标。

该组织的恶意活动于2015年首次被报道。

该组织通常以个人为目标，窃取敏感和机密数据，这些个人在开发Android、iOS和Windows平台的恶意软件和间谍软件方面具有特定的专业知识。

众所周知，它会将其恶意软件伪装成WhatsApp、Signal或Telegram等流行应用程序的更新。他们还可能发送包含恶意网站链接的网络钓鱼电子邮件。

干旱毒蛇黑客的位置仍然未知。

原文始发于微信公众号（HackSee）：干旱毒蛇黑客利用安卓间谍软件在埃及和巴勒斯坦进行间谍活动