Arid Viper android-malware: Skipped Messenger
A Cisco Talos 2022 áprilisa óta nyomon követ egy rosszindulatú kampányt, amelyet a kémkedésre motivált Arid Viper APT csoport működtet, amely arabul beszélő Android-felhasználókat céloz meg. Ebben a kampányban a szereplők mobil rosszindulatú Android-csomagfájlokat (APK-k) használnak, hogy érzékeny információkat gyűjtsenek a célpontoktól, és további kártevőket telepítsenek a fertőzött eszközökre.
Az Arid Viper által ebben a kampányban telepített mobil rosszindulatú program hasonlóságot mutat a Skkipped nevű valós társkereső alkalmazással, mivel hasonló a neve, és ugyanazt a megosztott projektet használja a Firebase alkalmazásfejlesztő platformon. Ezek az átfedések, amelyeket az alábbiakban részletesen ismertetünk, arra utalnak, hogy az Arid Viper üzemeltetői kapcsolatban állnak a Skkipped fejlesztőivel, és/vagy illegálisan másolták le a nem rosszindulatú alkalmazás jellemzőit, hogy rávegyék és megtévesszék a felhasználókat, hogy töltsék le rosszindulatú programjaikat. A kampányban telepített androidos rosszindulatú program nagymértékben ugyanazokat a Firebase-adatbázisokat használja, mint a Skipped, azonban mind a rosszindulatú program, mind a nem rosszindulatú alkalmazás saját, különálló hitelesítő adatait használja, beleértve az API-kulcsokat és az ügyfélalkalmazás-azonosítókat. Ez a megfigyelés azt jelzi, hogy a rosszindulatú programok fejlesztői ugyanahhoz a Firebase projekthez és háttéradatbázishoz fértek hozzá, amelyet a nem rosszindulatú társkereső alkalmazás is használ, és létrehozták a saját hitelesítő adataikat.
A Talos azt is figyelembe vette, bár valószínűtlennek ítélte, hogy a Skkipped Firebase adatbázisait teszt módban konfigurálták, nyilvánosan elérhetővé tették, és az Arid Viper visszaélt velük. A teszt mód lehetővé teszi a fejlesztő számára, hogy gyorsan beállítson egy adatbázist tesztelési célból, amely mindenki számára elérhetővé teszi, aki ismeri az URL-t.
Az Arid Viper Android-malware-je számos olyan funkcióval rendelkezik, amelyek lehetővé teszik a kezelők számára, hogy titokban bizalmas információkat gyűjtsenek az áldozatok eszközeiről, és további végrehajtható fájlokat telepítsenek. A kártevő natív kódot használ bizonyos tevékenységeinek elrejtésére, ami azt jelenti, hogy kihasználhatja az Android azon képességét, amely lehetővé teszi az összeállítás-alapú megosztott könyvtárak végrehajtását. Az Android-alkalmazások általában Java kódból is felépíthetők, teljesítményi okokból azonban az alkalmazások képesek olyan könyvtárakat betölteni, amelyek natív kódba vannak fordítva (megosztott könyvtárak). Ezt a natív kódot is nehezebb elemezni és visszafejteni.
A telepítést követően a rosszindulatú program megpróbálja elrejteni magát az áldozat gépén azáltal, hogy letiltja az operációs rendszer rendszer- vagy biztonsági értesítéseit. A rosszindulatú program teljesen letiltja az értesítéseket a Samsung mobileszközökön és minden olyan Android-csomaggal rendelkező eszközön, amely tartalmazza a „security” szót. A kártevő kevésbé teszi láthatóvá az értesítéseket a Huawei, a Google, az Oppo és a Xiaomi mobileszközökön.