自 2022 年 4 月以来，思科 Talos 一直在跟踪由间谍活动Arid Viper 高级持续威胁 (APT) 组织针对阿拉伯语 Android 用户发起的恶意活动。在此活动中，攻击者利用自定义移动恶意软件（也称为 Android 软件包文件 (APK)）从目标收集敏感信息，并将其他恶意软件部署到受感染的设备上。
尽管据信 Arid Viper 的基地位于加沙，但 Cisco Talos 没有证据表明或反驳该活动与以色列-哈马斯战争有任何关系。此外，在 Talos 与执法部门进行尽职调查期间，这项研究的发表被推迟。
此活动中使用的移动恶意软件与非恶意在线约会应用程序（称为 Skipped）有相似之处。该恶意软件特别在应用程序的开发平台上使用相似的名称和相同的共享项目。这种重叠表明 Arid Viper 操作员要么与 Skipped 的开发人员有联系，要么以某种方式非法访问了共享项目的数据库。
我们的分析发现了一系列与 Skipped 相关的模拟约会应用程序，这使我们评估 Arid Viper 运营商可能会在未来的恶意活动中寻求利用这些额外的应用程序。
为了强迫用户下载其移动恶意软件，Arid Viper 运营商共享伪装成约会应用程序更新的恶意链接，从而将恶意软件传送到用户的设备。
Arid Viper 的 Android 恶意软件具有多种功能，使操作员能够禁用安全通知、收集用户的敏感信息以及在受感染的设备上部署其他恶意应用程序。

Arid Viper 移动恶意软件与非恶意约会应用程序有相似之处

Arid Viper 在此活动中部署的移动恶意软件与非恶意约会应用程序 Skipped 具有相似之处，因为它具有相似的名称，并在应用程序开发平台 Firebase 上使用相同的共享项目。这些重叠（下面将进一步详细解释）表明 Arid Viper 运营商可能与 Skipped 的开发人员有联系，和/或他们可能非法复制非恶意应用程序的特征，以引诱和欺骗用户下载其恶意软件。值得注意的是，利用合法应用程序名称强迫用户下载恶意软件的技术与Arid Viper过去使用的“蜜罐”策略不谋而合。

Arid Viper 的移动恶意软件的名称“Skipped_Messenger”似乎是对 Skipped 的引用，后者在某些应用程序商店中列为“Skipped – 聊天、匹配和约会”。“Skipped_Messenger”恶意软件使用Google 的 Firebase 消息传递系统作为命令和控制 (C2) 通道，而非恶意的 Skipped 应用程序则使用它来推送通知。Google 的 Firebase 消息传递系统通过创建命名项目以及其他唯一标识符来工作。该项目受到一组凭据和 API 密钥的保护。为了让开发人员编写使用相同项目和 Firebase 数据库的应用程序，他们需要 API 密钥形式的凭据以及在 Firebase 项目控制台中生成的项目和应用程序 ID。

此恶意活动中部署的 Android 恶意软件广泛使用 Skipped 所使用的相同 Firebase 数据库，但是，恶意软件和非恶意应用程序都使用自己的一组不同凭据，包括 API 密钥和客户端应用程序 ID。此观察结果表明，恶意软件开发人员可以访问非恶意约会应用程序使用的同一 Firebase 项目和后端数据库，并生成自己的一组凭据。

Talos 还考虑到 Skipped 的 Firebase 数据库是在测试模式下配置、公开提供并被 Arid Viper 滥用的，尽管评估认为这不太可能。测试模式允许开发人员快速设置数据库用于测试目的，这使得知道 URL 的每个人都可以使用该数据库。该模式需要在首次创建数据库时设置，且有效期为 30 天。在此持续时间之后，数据库将被锁定，需要专门重新配置以提供公共访问。Skipped Firebase 项目域的被动 DNS 数据显示，该数据库的 URL 首次出现于 2021 年 8 月 9 日，而 Arid Viper 的恶意软件从 2022 年 11 月 11 日开始使用此基础设施。鉴于该恶意软件使用 Skipped 的 Firebase 项目几乎在基础设施建立一年后（并且远远超出了公共访问的 30 天窗口），Arid Viper 不太可能利用无意的公共访问来访问数据库。

此外，该模式并不为整个Firebase项目提供任何管理能力，而只是提供对后端数据库的数据读写能力。仍然需要在项目的管理控制台上配置项目的 API 密钥的生成和 Android 恶意软件的注册。

最后，Talos 没有发现任何公开证据表明 Firebase/Google Cloud 项目受到损害，以至于除项目原始创建者之外的任何一方都可以使用该项目。这支持了我们的评估，即跳过的开发人员可能与 Arid Viper 运营商共享他们的 Firebase 项目。

如下所示，Arid Viper 在本次活动中使用的恶意软件与威胁行为者在之前的活动中使用的远程访问木马 (RAT) 非常相似。该恶意软件的早期版本都通过 Android 软件包名称中的引用或恶意软件的图形用户界面 (GUI) 中的引用来暗示跳过的应用程序。

恶意应用程序哈希	包裹名字
ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f	com[.]dem[.]aitim[.]Skipped_Messenger
9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f	com[.]pen[.]lime[.]Skipped_Messenger
8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964	com[.]apps[.]sklite

我们的分析发现了一个扩展的公司网络，这些公司创建与 Skipped 类似或相同的约会主题应用程序。鉴于上述 Arid Viper 的移动恶意软件与 Skipped 之间的联系，我们评估 Arid Viper 运营商可能会在未来的恶意活动中寻求利用这些附加应用程序的基础设施和/或名称。

Skipped 的发行商是一家名为“Skipped GmbH ”的公司，注册并总部位于德国，似乎与新加坡和迪拜公司发布的众多看似非恶意的约会应用程序有关联。我们发现这些其他公司用于分发其约会应用程序（可在 Google 和 Apple 应用程序商店中找到）的域名是由 Skipped GmbH 注册的。大多数这些应用程序为用户提供聊天服务，但不可能进行面对面的交互。在这些对话期间，应用程序将中断并请求用户购买“硬币”以继续交互。这一功能值得注意，因为如果 Arid Viper 与这些应用程序之间存在当前或潜在的连接，它可以为 APT 运营商带来收入。

可以从 Google Play 商店或 Apple App Store 安装以下连接到 Skipped GmbH 的在线约会应用程序：

“SKIPPED – 聊天、匹配和约会”：Google Play 上的下载量为 5 万次。
“Joostly – 约会应用程序！Singles”：Google Play 上的下载量为 10K。
“VIVIO – 聊天、调情和约会”：可在 Apple App Store 上找到。
“Meeted（以前称为 Joostly）- 调情、聊天和约会”：可在 Apple App Store 上找到。

我们能够将这个生态系统中的核心实体 Skipped GmbH 与以多个名义运营的个人联系起来。以个人为中心，我们能够识别出德国至少三个不同但相关的公司，这些公司创作和分发通常以约会为主题的移动应用程序：

公司名称	成立日期
跳过有限公司	2023 年 2 月 13 日
过时的有限公司	2020 年 7 月 3 日
金字塔媒体有限公司	2019 年 1 月 28 日

这些应用程序在苹果和谷歌的应用程序商店中分发，并在其广告和内容中使用德语。所有这些应用程序都包含浪漫或约会主题，这是Arid Viper 组织过去滥用的应用程序的一个共同特征。

Talos 发现了 Skipped GmbH 注册的多个域名，这些域名用作产品主页和托管应用程序服务协议等工件。这些域所属的应用程序都是浪漫和约会主题的，并使用各种发行商实体在应用程序商店上分发。该生态系统中涉及的公司、领域和应用程序的高级事件时间表如下所示：

类型	价值	创建日期	笔记
公司	金字塔媒体有限公司	2019 年 1 月 28 日	没有任何
领域	跳过[.]at	2020 年 1 月 16 日	跳过有限公司
领域	巴楼[.]应用程序	2020 年 4 月 8 日	跳过有限公司
领域	见面[.]于	2020 年 4 月 11 日	跳过有限公司
公司	过时的有限公司	2020 年 7 月 3 日	没有任何
应用	Juola/跳过的应用程序	2021 年 2 月 11 日	由 NYUTAINMENT PTE 出版。有限公司
公司	Dream DDF FZ-LLC，阿联酋迪拜	未知。公共域名注册于 2021 年 7 月 4 日	没有任何
应用	会议应用程序	2021 年 8 月 25 日	由 Skipped GmbH 出版
领域	洛夫多[.]com	2021 年 9 月 22 日	未知
领域	skpd[.]应用程序	2022 年 2 月 15 日	归 Skipped GmbH 所有
公司	NYUTAINMENT私人有限公司新加坡有限公司	2022 年 3 月 31 日	没有任何
应用	VIVIO/Lovbedo 应用程序	2022 年 4 月 7 日	由 Adx 咨询出版
公司	Adx Consulting DSO-IFZA，阿联酋迪拜	未知。公共领域于 2022 年 4 月 26 日注册	Vivio/Lovbedo 的新发行商
领域	isingles[.]app	2022 年 4 月 19 日	归 Skipped GmbH 所有
领域	焦拉[.]应用程序	2022 年 4 月 28 日	归 Skipped GmbH 所有
领域	你好[.]应用程序	2022 年 10 月 13 日	归 Skipped GmbH 所有
领域	见面[.]应用程序	2022 年 10 月 14 日	归 Skipped GmbH 所有
领域	vivio[.]应用程序	2022 年 10 月 31 日	归 Skipped GmbH 所有
公司	跳过有限公司	2023 年 2 月 13 日	没有任何
公司	QUVY 核心私人有限公司新加坡有限公司	2023 年 5 月 26 日	没有任何
领域	匹配的[.]应用程序	2023 年 6 月 13 日	归 Skipped GmbH 所有
领域	跳过[.]我们	2023 年 7 月 7 日	归 Skipped GmbH 所有
领域	遇见了[.]应用程序	2023 年 7 月 25 日	归 Skipped GmbH 所有

上面列出的所有网站都使用完全相同的模板来展示其内容，内容本身、标题和图像略有不同。这些网站在网站页脚中提供了从应用程序商店下载应用程序的链接。然而，这些网站上的法律协议和出版商信息可能不涉及 Skipped GmbH。事实上，许多网站列出了来自不同国家的公司：

应用程序名称	开发商名称
Meeted/Joostly (iOS) VIVIO (iOS) Joostly (Android)	Skipped GmbH，弗伦斯堡，德国增值税号：DE328073875
薇薇奥（安卓）	Adx Consulting DSO-IFZA 迪拜硅绿洲
遇见（安卓）	QUVY 核心私人有限公司有限公司，新加坡，增值税号：202320706D
巴鲁 (Android) 焦拉 (Android)	NYUTAINMENT私人有限公司有限公司（新加坡增值税号：202210925E）
米蒂（安卓）	Dream DDF FZ-LLC （阿联酋迪拜）

尽管 Skipped GmbH 和与这些应用程序相关的域之间存在具体联系（如其域名注册信息所证明），但目前尚不清楚Skipped GmbH 和上面列出的分发这些应用程序的其他开发商之间是否存在直接关系。

Talos 制作了一个图表来映射应用程序公司、域和网站之间的连接，如下所示。该图包含与 Arid Viper 的 Android 恶意软件的连接，该恶意软件基于该恶意软件对 Firebase 与 Skipped 的重叠使用，如上所述。图表的中心是 Skipped GmbH，它用于注册域名并为各种约会应用程序建立网站。这些应用程序及其网站与全球其他开发商和发行商相连。例如，“Joula”应用程序是由一家名为“NYUTAINMENT PTE.”的公司分发的。LTD”，总部位于新加坡。然而，Joula 的域名 joula[.]app 是由 Skipped GmbH 注册的。

值得注意的是，尽管这个应用程序和发布商的生态系统不能明确归类为诈骗活动，但至少其中一家公司 NYUTAINMENT PTE. LTD因使用虚假个人资料运营网站和应用程序，于 2022 年 1 月被柏林地区法院发出停止令。

恶意活动伪装成合法应用程序更新来分发移动恶意软件

据 Talos 观察，Arid Viper 的最新活动至少自 2022 年 4 月起就开始发生，该活动通过伪装成应用程序更新的移动恶意软件瞄准阿拉伯语 Android 用户。Arid Viper 有将其恶意软件伪装成更新的历史，无论是用于约会应用程序还是流行的消息应用程序，例如 WhatsApp、Signal 或 Telegram。攻击者通常向目标发送该应用程序教程视频的链接，该视频发布在 YouTube 等媒体共享网站上。

教程视频将逐步介绍该应用程序的所有功能以及如何用阿拉伯语操作该应用程序的说明，并建议针对讲阿拉伯语的个人进行特定定位。其中一个视频描绘了一个人用黎凡特方言的阿拉伯语进行叙述。视频描述中提供了一个 URL，该 URL 指向攻击者控制的域，该域提供 Arid Viper 的 APK 恶意软件副本。

Talos 发现了一个托管此类视频的 YouTube 帐户。该帐户创建于 2022 年 3 月 17 日，仅上传了一个视频，这表明 Arid Viper 可能会使用此类帐户一次托管有限数量的视频。该视频（如上面的屏幕截图所示）在撰写本文时大约有 50 次观看。

我们评估攻击者在此次活动中使用的所有域名均由 Arid Viper 单独注册、运营和控制。这些域遵循之前Arid Viper 基础设施中观察到的相同命名模式，不仅用于托管恶意 APK，还充当植入程序的 C2 服务器。这些域通常由攻击者使用“ ALFA TEaM Shell ”等 Webshell 进行管理。

如前所述，此活动中部署的一些恶意软件使用 Google 的 Firebase 平台作为恶意应用程序的 C2 基础设施。Firebase 平台主要充当 C2 通道来发出命令以及下载和上传文件。该平台还能够向恶意软件提供新的 C2 服务器地址，以便它可以从 Firebase 平台切换到另一个攻击者控制的 C2 主机。Arid Viper 在此次活动中使用的 Firebase 项目之一可以追溯到 2021 年，并且有一些与之相关的非恶意移动 APK，这表明运营商多年来一直在尝试使用同一帐户创建、测试和推广其他 APK 软件。

移动恶意软件使运营商能够收集目标信息并部署其他恶意软件

Arid Viper 的 Android 恶意软件具有多种功能，使操作者能够秘密地从受害者的设备收集敏感信息并部署其他可执行文件。该恶意软件使用本机代码隐藏其某些活动，这意味着它可以利用 Android 的功能来执行基于程序集的共享库。Android 应用程序通常可以从 Java 代码构建，但是，出于性能原因，应用程序能够加载编译为本机代码（共享库）的库。此本机代码也更难分析和逆向工程。

一旦部署，恶意软件就会尝试通过禁用操作系统的系统或安全通知来将自身隐藏在受害计算机上。该恶意软件会完全禁用三星移动设备以及任何带有包含“安全”一词的 Android 软件包的设备上的通知。该恶意软件使通知在华为、谷歌、Oppo 和小米移动设备上变得不那么明显。

该恶意软件加载一个通常称为“libuoil.so”或“libdalia.so”的库，该库导出四个主要函数。其中每个函数都将返回供应商在其 Android 开源项目 (AOSP) 版本上安装的管理包的名称。

然后，这些名称将用于隐藏来自上述四个供应商的安全包的通知。目前还不清楚为什么这些供应商需要不同的混淆过程，因为代码字符串在本机代码库中没有被混淆。

Arid Viper至少从 2021 年起就一直在使用本机代码库，目的是混淆 C2 主机名。然而，在这次活动中，这些字符串根本没有被混淆，只是用来取消内置安全包的通知，这是威胁行为者开发和打包 Android 恶意软件的方式的一个显着发展。

该恶意软件被配置为从受感染的设备获取许多权限，包括以下能力：

录制音频
读取联系人
禁用 Keyguard，这会禁用键锁和相关的密码安全措施
读取通话记录
发送、接收和阅读短信
查看和更改 Wi-Fi 设置
杀死后台应用程序
读取外部存储器的内容
访问相机拍照和录制视频
检索设备上当前正在运行的任务的信息
下载文件而不通知用户
创建系统警报

下面将更详细地探讨这些功能以及用于实现它们的代码。

从功能的角度来看，该 RAT 展示了基于 Android 的 RAT 的所有经典功能，包括系统指纹识别、数据泄露和有效负载部署等。

执行木马应用程序

该恶意软件能够下载其他恶意软件，这些恶意软件通常伪装成合法应用程序的更新。它还可以显示特定应用程序有可用更新的通知，从而可能提示用户安装恶意更新。该恶意软件能够下载、重命名和运行以下应用程序：

“.whatsapp-update.apk”到“whatsapp-update.apk”
“.messenger-update.apk” 到 “messenger-update.apk”
“.google-play-update.apk”到“google-play-update.apk”
“.instagram-update.apk”到“instagram-update.apk”

检索系统信息

植入程序能够从“/proc/cpuinfo”等位置以及“activity”等系统服务获取系统信息。它还将使用StatFs API从设备获取内存信息，StatFs API是 statvfs() Unix 调用的包装器。

该恶意软件可以检索双 SIM 卡设备的每个 SIM 卡的以下 SIM 卡信息：

SIM 卡插槽数量
SIM状态
SIM 服务提供商名称 (SPN)
SIM 序列号
SIM 设备 ID（IMEI 或 MEID）
SIM 卡用户 ID (IMSI)

它还可以检索设备的以下电池信息：

电池健康状况
电池状态
平均电池电量

如果设备是以下之一，则恶意软件可以识别设备制造商：

华为
小米
体内
OPPO

它可以获取以下网络信息：

使用https://api.ipify.org 的公共 IPv4 和 IPv6 地址
MAC地址
WIFI网络名称
最后，恶意软件能够检索其他信息，包括：
- 手机是否支持2G、3G、4G
- 设备ID
- 与手机关联的帐户的电子邮件地址
- 设备品牌和型号。
- 操作系统版本和 API 版本
从当前 C2 接收额外的 C2 域

Android 植入程序可以向当前 C2 请求更新的 C2 域并将其存储在其配置中，如下所示：

泄露收集到的凭据

它还可以窃取从 Facebook 收集的凭据并将其转发到 C2 服务器：

记录、发送和接收电话和短信

该植入程序能够记录受感染设备上的电话通话。这是通过录制 MIC 音频源、将录音捕获到磁盘上的指定位置，然后将目录中的所有文件上传到 C2 服务器来完成的。

该恶意软件还可以捕获设备收到的短信、发送新短信以及拨打 C2 指定的电话号码：

发简讯
打电话
最后，植入程序会记录受感染设备上存储的所有短信的以下信息：
- 发件人 ID 和地址
- 正文/内容
- 读取状态
- 接收日期
- 类型
记录联系人

恶意软件可以记录设备中的联系信息并将其保存在植入程序指定的文件夹中的文件中：
- 联系方式
- 显示名称
- 电话号码
记录通话记录

植入程序能够记录受感染设备上的通话历史记录信息并将其保存在特定的文件和文件夹中。这些信息可以包括：
- 电话号码和来电者姓名
- 呼叫类型，传入或传出
- 通话日期和时间
- 通话时长（以秒为单位）
窃取文件

最后，Arid Viper的恶意软件能够将指定目录中具有以下扩展名的所有文件复制到另一个目录以渗透到C2：jpg、jpeg、png、pdf、doc、docx、ppt、pptx、xls、mpp、accdb、 .xlsx、.mdb

这项研究的 IOC 也可以在我们的 GitHub 存储库中找到。

哈希值

d5e59be8ad9418bebca786b3a0a681f7e97ea6374f379b0c4352fee1219b3c29

8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964

D69cf49f703409bc01ff188902d88858a6237a2b4b0124d553a9fc490e8df68a

1b6113f2faf070d078a643d77f09d4ca65410cf944a89530549fc1bebdb88c8c

57fb9daf70417c3cbe390ac44979437c33802a049f7ab2d0e9b69f53763028c5

f91e88dadc38e48215c81200920f0ac517da068ef00a75b1b67e3a0cd27a6552

a8ca778c5852ae05344ac60b01ad7f43bb21bd8aa709ea1bb03d23bde3146885

fb9306f6a0cacce21afd67d0887d7254172f61c7390fc06612c2ca9b55d28f80

682b58cad9e815196b7d7ccf04ab7383a9bbf1f74e65679e6c708f2219b8692b

e0e2a101ede6ccc266d2f7b7068b813d65afa4a3f65cb0c19eb73716f67983f7

f15a22d2bdfa42d2297bd03c43413b36849f78b55360f2ad013493912b13378a

ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f

ee98fd4db0b153832b1d64d4fea1af86aff152758fe6b19d01438bc9940f2516

9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f

33ae5c96f8589cc8bcd2f5152ba360ca61f93ef406369966e69428989583a14e

网络 IOC

路易斯-迪比克[.]in

哈罗德拉姆西[.]icu

丹尼·卡特赖特[.]坚定[.]在

康纳玛吉[.]com

朱尼厄斯·卡辛[.]com

朱尼厄斯·卡辛[.]com

hxxps[://]orin-weimann[.]com/abc/Update%20Services[.]apk

hxxps[://]jack-keys[.]site/download/okOqphD

hxxps[://]elizabeth-steiner[.]tech/download/HwIFlqt

hxxps[://]orin-weimann[.]com/abc/signal[.]apk

hxxps[://]lightroom-61eb2[.]firebaseio[.]com/

hxxps[://]skippedtestinapp[.]firebaseio[.]com/