Los investigadores del proveedor de ciberseguridad ESET detectaron cinco campañas de ciberespionaje a partir de 2022, dirigidas a usuarios de Android con aplicaciones troyanizadas en Egipto y Palestina. En un nuevo informe, ESET proporcionó más detalles sobre estas campañas, que atribuyó con confianza media al grupo de hackers Arid Viper. Los investigadores de ESET denominaron al software espía de varias etapas utilizado para infectar las aplicaciones de Android objetivo ‘AridSpy’. Aplicaciones de mensajería troyanizadas. Estas campañas de ciberespionaje se basan en sitios web de distribución desde donde las víctimas pueden descargar e instalar manualmente aplicaciones de Android. Algunas aplicaciones proporcionadas por estos sitios web son aplicaciones de chat aparentemente legítimas troyanizadas con código malicioso diseñado con fines de espionaje: este es el malware AridSpy. Estas aplicaciones maliciosas se hacen pasar por NortirChat, LapizaChat, ReblyChat, PariberyChat y RenatChat. Cuando ESET publicó su análisis, las campañas que utilizaban las tres primeras aplicaciones de chat troyanizadas todavía estaban en curso, mientras que las dos últimas estaban inactivas. “Tenga en cuenta que estas aplicaciones maliciosas nunca se han ofrecido a través de Google Play y se descargan de sitios de terceros. Para instalar estas aplicaciones, se solicita a la víctima potencial que habilite la opción de Android no predeterminada para instalar aplicaciones de fuentes desconocidas”, agregaron los investigadores de ESET. Falso ‘Registro Civil Palestino’ Además de aplicaciones de mensajería troyanizadas, los hackers detrás de AridSpy también utilizaron dos aplicaciones aparentemente legítimas distribuidas en los mismos sitios web dedicados: una aplicación de ‘Registro Civil Palestino’ y una aplicación de oportunidades laborales en árabe. Este primero está inspirado en una aplicación existente en Google Play Store, mientras que el segundo es una pura invención de los piratas informáticos. Página de Facebook promocionando el palcivilreg[.]com sitio web para que cada palestino identifique datos personales. Fuente: ESETAmbos incluyen enlaces maliciosos que llevan a las víctimas a instalar el código AridSpy. Características técnicas de AridSpy Análisis anteriores de AridSpy, entonces sin nombre, de Zimperium en 2021 y 360 Beacon Labs en 2022 mostraron que las versiones anteriores del software espía solo constaban de una sola etapa. Estuvo notablemente involucrado en campañas maliciosas dirigidas a la Copa Mundial de la FIFA en Qatar en diciembre de 2022. El blog de ESET revela que desde entonces el software espía ha evolucionado a una carga útil más avanzada que comprende un troyano de tres etapas con cargas útiles adicionales descargadas desde el comando y control (C2 ) servidor por la aplicación troyanizada inicial. El propósito de la carga útil de la segunda etapa es el espionaje mediante la exfiltración de datos de las víctimas. AridSpy también tiene un número de versión interno codificado que difiere en estas cinco campañas y de otras muestras reveladas anteriormente. «Esta información sugiere que AridSpy se mantiene y podría recibir actualizaciones o cambios de funcionalidad», agregaron los investigadores de ESET. Descripción general de la infiltración de AridSpy. Fuente: ESETESET proporcionó un análisis técnico más detallado de AridSpy. Victimología y atribución Los investigadores detectaron seis casos de AridSpy, todos dirigidos a usuarios en Palestina y Egipto. “La mayoría de los casos de software espía registrados en Palestina fueron para la aplicación maliciosa del Registro Civil Palestino, y otra detección no formó parte de ninguna campaña mencionada en esta publicación de blog. Luego encontramos la misma carga útil de la primera etapa pero con un nombre de paquete diferente en Egipto. También se detectó otra carga útil de primera etapa en Egipto, una que utiliza el mismo [C2] servidores como las muestras en LapizaChat y campañas de oportunidades laborales”, se lee en el blog de ESET. La atribución de ESET a Arid Viper se basa en dos indicadores: AridSpy apuntó a organizaciones en Palestina y Egipto, lo que se ajusta a un subconjunto de los ataques típicos de Arid Viper. Múltiples sitios web de distribución de AridSpy utilizan un archivo JavaScript malicioso único llamado myScript.js, que se ha vinculado previamente a Arid Viper por 360 Beacon Labs y el motor de búsqueda de la red FOFA ¿Quién está detrás de Arid Viper? Arid Viper, también conocido como APT-C-23, Desert Falcons o Two-tailed Scorpion, es un grupo de ciberespionaje que ha estado apuntando a países de Medio Oriente desde al menos 2013. La actividad maliciosa del grupo se informó por primera vez en 2015. El grupo normalmente se dirige a personas para extraer datos sensibles y confidenciales con experiencia específica en el desarrollo de malware y spyware para plataformas Android, iOS y Windows. Se sabe que disfraza su malware como actualizaciones de aplicaciones populares, como WhatsApp, Signal o Telegram. También pueden enviar correos electrónicos de phishing que contengan enlaces a sitios web maliciosos. Se desconoce la ubicación de los piratas informáticos de Arid Viper. Leer más: La campaña Arid Viper está dirigida a usuarios de habla árabe