One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8522374 |
| Date de publication | 2024-06-21 02:03:23 (vue: 2024-06-21 03:10:21) |
| Titre | Arid Viper apt Group déploie AridSpy Android malware dans les campagnes d'espionnage en cours Arid Viper APT Group Deploys AridSpy Android Malware in Ongoing Espionage Campaigns |
| Texte | #### Géolocations ciblées - Egypte - Autorité palestinienne ## Instantané Les chercheurs de l'ESET ont découvert de nouvelles campagnes d'espionnage de vipères arides ciblant les utilisateurs d'Android en Égypte et en Palestine.Les campagnes, dont plusieurs sont actuellement en cours, impliquent la répartition des applications transformatrices via des sites Web dédiés qui se font l'identité d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. ## Description Le logiciel espion Android à plusieurs étapes, nommé AridSpy, est contrôlé à distance et se concentre sur l'espionnage des données utilisateur.Plusieurs campagnes tirant parti d'Aridspy sont toujours en cours, OS de juin 2024. Arid Viper, également connu sous le nom de l'APT-C-23, des faucons désertiques, ou Scorpion bilatéral, est un groupe de cyberespionnage actif depuis au moins 2013, ciblant les pays du Moyen-Orient.Le groupe a attiré l'attention pour son vaste arsenal de logiciels malveillants pour les plates-formes Android, iOS et Windows.Les campagnes AridSpy impliquent la distribution d'applications transversales via des sites Web dédiés imitants d'applications de messagerie, une application d'opportunité d'emploi et une application de registre civil palestinien. Les campagnes comprenaient des versions trojanisées d'applications de messagerie légitime comme Lapizachat, Nortirchat et Repynchat, ainsi que la dégagement en tant qu'application de registre civil palestinien et une application de portail d'emploi.Les applications malveillantes utilisées dans ces campagnes n'ont jamais été proposées via Google Play, exigeant la victime potentielle pour permettre l'option Android non défaut pour installer des applications à partir de sources inconnues.Par exemple, la campagne ONET implique une application se faisant passer pour le registre civil palestinien, offrant des informations sur les résidents de la Palestine.L'application, disponible en téléchargement à partir de palcivilreg \ [. \] Com, récupère les données d'un serveur légitime associé à une application similaire sur Google Play.Une deuxième campagne distribue AridSpy en tant qu'application d'opportunité d'emploi, disponible en téléchargement sur le site Web Almoshell \ [. \], Qui fait des demandes à un site Web de distribution de logiciels malveillants pour les utilisateurs enregistrés. La fonctionnalité malveillante comprend le téléchargement des charges utiles de première et deuxième étage, d'obscurcissement des cordes et d'exfiltration approfondie des données, y compris le keylogging et la collecte sur Facebook Messenger et WhatsApp Communications. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est probablement attribuée à Arid Viper, en fonction de la façon dont ces campagnes correspondent aux observations Microsoft précédentes de l'activité de logiciels malveillants mobiles. Activité suivie comme Arid Viper, Desert Falcons et APT-C-23 par d'autres chercheurs en sécurité chevauchent l'acteur de menace que Microsoft suit comme[Pinstripe Lightning] (https://sip.security.microsoft.com/intel-profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802E54).Pinstripe Lightning est un acteur basé à Gaza actif dès 2015;Il est connu pour cibler les agences gouvernementales palestiniennes, les universités et les organisations pro-Fateh en Cisjordanie.Dans le passé, Pinstripe Lightning a également ciblé les organisations et les individus en Israël, en Égypte, à Bahreïn, en Arabie saoudite, en Jordanie et aux États-Unis.Pinstripe Lightning utilise généralement des leurres d'ingénierie sociale ciblés pour fournir des logiciels malveillants personnalisés aux cibles. ## Détections / requêtes de chasse Microsoft Defender Antivirus détecte les composants de la menace comme le malware suivant: - T |
| Notes | ★★ |
| Envoyé | Oui |
| Condensat | #### 2013 2015; 2024 about accessed active activity actor agencies almoshell also analysis android antivirus app application apps apt arabia are arid aridspy aridspy/#new arsenal assessment associated attention attributed authority available back bahrain bank based been campaign campaigns civil collection com com/en/eset com/intel communications components controlled corroborates countries currently custom cyberespionage data dedicated default defender deliver deploys description desert detections/hunting detects discovered distributes distribution download downloading drawn east egypt enable engineering eset espionage example exfiltration extensive facebook falcons far fateh first focuses following from functionality gaza geolocations google government group has have how https://sip https://www impersonating included includes including individuals information install intelligence involve involves ios israel its job jordan june keylogging known lapizachat least legitimate leveraging lightning like likely lures makes malicious malware malware: masquerading match messaging messenger microsoft middle mobile multistage named never new non nortirchat obfuscation observations offered offering onet ongoing opportunity option organizations other overlaps palcivilreg palestine palestinian past payloads pinstripe platforms play poisons portal potential previous pro profiles/44779db079fceb03fef983c0da471a6163f4f1eb9b4ea3404409f9fd37802e54 queries reblychat references registered registry remotely requests requiring research research/arid researchers residents retrieves saudi scorpion second security server several similar since snapshot social sources spyware stage states string tab tailed target targeted targeting targets these threat through tracked tracks trojanized trojanspy:androidos/dummy trojanspy:androidos/infostealer two typically united universities unknown used user users uses vast versions victim viper website websites welivesecurity well west whatsapp which windows |
| Tags | Malware Threat Mobile |
| Stories | APT-C-23 |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.