Arid Viper android alkalmazásban
Az ESET kutatói Arid Viper kémkampányokat fedeztek fel, amelyek trójai alkalmazásokat terjesztettek az egyiptomi és palesztinai Android-felhasználók között.
Az ESET kutatói öt olyan kampányt azonosítottak, amelyek Android-felhasználókat céloznak meg trójai alkalmazásokkal. Ezeket a kampányokat valószínűleg az Arid Viper APT-csoport hajtotta végre, és 2022-ben kezdődtek, közülük három még mindig folyamatban van a blogbejegyzés megjelenésekor. Többlépcsős Android kémprogramot telepítenek, amelyet mi AridSpy-nak neveztünk el, amely a C&C szerveréről tölti le az első és második lépcsős hasznos terheléseket, hogy segítsen elkerülni a felderítést. A rosszindulatú szoftver terjesztése külön erre a célra létrehozott weboldalakon keresztül történik, amelyek különböző üzenetküldő alkalmazásokat, egy álláslehetőséget kínáló alkalmazást és egy palesztin anyakönyvi alkalmazást adnak ki. Gyakran ezek már létező alkalmazások, amelyeket az AridSpy rosszindulatú kódjának hozzáadásával trójaiakká tettek.
Az AridSpy kódját egyes esetekben valós funkciókat biztosító alkalmazásokba csomagolták. Míg az AridSpy első szakaszát már korábban dokumentáltuk, itt az eddig ismeretlen későbbi szakaszainak teljes elemzését is nyilvánosságra hozzák a az ESET kutatói. Az AridSpy egy távolról irányítható trójai, amely a felhasználói adatok kémkedésére összpontosít. Az AridSpy hat előfordulását észlelték, Palesztinában és Egyiptomban.