针对中东地区安卓用户的新一轮网络攻击已经浮出水面,重点是巴勒斯坦和埃及。这款名为 AridSpy 的多阶段安卓恶意软件据称是由臭名昭著的 Arid Viper APT 组织策划的,该组织在该地区是网络间谍活动的代名词。
恶意软件被发现通过五个专门的网站进行传播,巧妙地伪装在看似合法的应用程序中,标志着网络威胁的危险演变。这些活动的作案手法早在 2022 年就已开始,并一直持续到今天,其核心是部署木马应用程序,旨在渗透到毫无戒心的用户设备中。
这些应用程序包括消息平台和工作机会门户网站,其代码中都藏有阴险的 AridSpy 间谍软件,使攻击者能够远程控制受感染的设备并以惊人的效率提取敏感信息。
Arid Viper APT 组织利用 AridSpy 攻击目标
AridSpy 策略的一个关键要素是能够将自己伪装在真正的应用程序中,从而绕过传统的安全措施。通过利用现有应用程序并向其中注入恶意代码,犯罪者利用用户对熟悉软件的信任,扩大其网络攻击的范围和影响。
ESET对这些活动的调查发现了多起 AridSpy 渗透事件,大多数事件都围绕着恶意的巴勒斯坦民事登记应用程序的传播。这种策略,加上冒充 StealthChat 和 Voxer Walkie Talkie Messenger 等知名消息平台,凸显了该组织在网络战方面的老练手段。
ESET 研究员 Lukáš Štefanko 揭示了 AridSpy 的渗透机制,详细说明了如何诱骗毫无戒心的用户安装受感染的应用程序。Štefanko 解释说: “为了获得设备的初始访问权限,威胁行为者试图说服潜在受害者安装一个虚假但功能齐全的应用程序。一旦目标点击网站的下载按钮,托管在同一服务器上的 myScript.js 就会执行,以生成恶意文件的正确下载路径。”
通过欺骗性的下载按钮和精心编写的脚本,攻击者利用用户对流行应用程序的信任和熟悉程度的漏洞,为在他们的设备上静默安装 AridSpy 铺平了道路。
逆向工程应用程序
此外,Arid Viper 的聪明才智远不止于应用程序模仿,他们操纵合法应用程序服务器以促进数据泄露就是明证。通过对现有应用程序进行逆向工程并利用其基础设施,该组织精心策划了无缝数据提取过程,进一步增加了检测和缓解工作的复杂性。
AridSpy 的功能不仅限于数据间谍活动;该间谍软件拥有一套复杂的功能,旨在逃避检测并最大限度地提取信息。通过结合网络逃避策略和事件触发的数据泄露机制,AridSpy 可以秘密运行,窃取大量敏感数据,包括通话记录、短信、媒体文件,甚至位置信息。
随着网络威胁继续在全球范围内针对受害者,用户和组织都必须对黑客组织和勒索软件团伙保持警惕。通过保持知情并采取强有力的安全措施,个人可以减轻恶意行为者(如 Arid Viper 组织)带来的风险,保护他们的数字资产和个人信息免遭利用。
发表评论
您还未登录,请先登录。
登录