קמפייני סייבר חדשים מפילים קורבנות פלסטינים

חוקרי ESET דיווחו בסוף השבוע כי זיהו חמישה קמפייני בסייבר שמטרגטים משתמשי אנדרואיד ברשות הפלסטינית (שבחברה הגדירו כפלסטין) ובמצרים, ומשתמשים באפליקציות שמודבקות בסוס טרויאני כדי לתקוף אותם.

הקמפיינים, שככל הנראה מופעלים על ידי קבוצת התקיפה Arid Viper, החלו ב-2022, וחלקם ממשיכים לפעול גם כיום. הם מובילים להתקנה של רוגלה מרובת שלבים למכשירי אנדרואיד, שחוקרי ESET כינו אותה AridSpy. הרוגלה מורידה נוזקות בשני שלבים משרת השליטה והבקרה שלה, כדי לסייע לה לחמוק מזיהוי.

AridSpy מופצת דרך אתרים ייעודיים שמתחזים לאפליקציות מסרים מיידיים שונות: אפליקציה לחיפוש ומציאת עבודה ויישומון של רשות המרשם האזרחי הפלסטיני. במרבית המקרים מדובר באפליקציות קיימות, שהודבקו בסוס טרויאני באמצעות הוספה אליהן של הנוזקה של AridSpy.

קבוצה שידועה כמתמקדת במזרח התיכון

Arid Viper, שמוכרת גם בשמות APT-C-23 ,Desert Falcons ו-Two-tailed Scorpion, היא קבוצת ריגול סייבר שידועה בתקיפת מדינות במזרח התיכון. הקבוצה זוכה לתשומת לב רבה בשנים האחרונות בעקבות ה-"היצע" האדיר של נוזקות שהיא מפתחת לפלטפורמות אנדרואיד, iOS ו-Windows.

שלוש מהאפליקציות שהושפעו מהמתקפה המדוברת הפעם וסופקו למשתמשים דרך אתרים מתחזים הן אפליקציות לגיטימיות, שהודבקו ברוגלת AridSpy. היישומונים הזדוניים לא הוצעו להורדה מחנות Google Play, וניתן היה להוריד אותם אך ורק מאתרים חיצוניים. כדי להתקינם, הקורבן הפוטנציאלי התבקש לאפשר התקנת אפליקציות ממקורות לא מוכרים – תכונה שאיננה פעילה כברירת מחדל. מרבית המקרים של ההדבקה ברוגלה שתועדו בשטחי הרשות הפלסטינית הם של התקנת האפליקציה המודבקת למרשם האזרחי הפלסטיני.

לוקאס סטפנקו, חוקר ESET שגילה את AridSpy, אמר ש-"כדי לקבל גישה ראשונית למכשיר, התוקפים מנסים לשכנע את הקורבן הפוטנציאלי להתקין תוכנה מזויפת אך מתפקדת. לאחר שהקורבן לוחץ על כפתור ההורדה, קובץ סקריפט בשם myScript.js, שמאוחסן על אותו השרת, מופעל כדי לייצר את נתיב ההורדה המתאים לקובץ הזדוני".

"צ'טים" זדוניים

בקמפיין אחד נכללה LapizaChat – אפליקציה זדונית לאנדרואיד להעברת מסרים מיידיים, כביכול, שאליה הצטרפו גרסאות מודבקות בסוס טרויאני. בשני קמפיינים נוספים, האפליקציות התחזו לאפליקציות להעברת מסרים מיידיים בשמות NortirChat ו-ReblyChat. שתי האפליקציות הזדוניות מתבססות על יישומונים לגיטמיים: NortirChat על Session ו-ReblyChat על Voxer Walkie Talkie Messenger.

מהצד השני, האפליקציה של המרשם האזרחי הפלסטיני קיבלה השראה מיישומון שהיה זמין בעבר ב-Google Play. עם זאת, על פי החוקרים, "האפליקציה הזדונית שזמינה להורדה מאתרי אינטרנט היא לא העתק של האפליקציה המקורית שמודבק בסוס טרויאני, אלא יישומון שמשתמש בשרת הלגיטימי של היישומון המקורי כדי לקבל מידע". כלומר, קבוצת Arid Viper קיבלה השראה מהפונקציונליות של האפליקציה המקורית, אך יצרה אפליקציה "עצמאית" משלה, שמתקשרת עם השרת הלגיטימי. כנראה, הסבירו החוקרים, "קבוצת Arid Viper ביצעה הנדסה לאחור של האפליקציה הלגיטימית מ-Google Play והשתמשה בשרתים שלה כדי להשיג נתונים על הקורבנות".

בקמפיין האחרון זוהתה הפצה של AridSpy כחלק מאפליקציה לחיפוש עבודה.

מתי מתחיל חילוץ הנתונים?

ככלל, לנוזקה הזו יש רכיב שנועד למנוע זיהוי שלה ברשת, ובעיקר של תקשורת השליטה והבקרה שלה. היא גם יכולה לכבות את עצמה. חילוץ הנתונים מתחיל בעקבות קבלת פקודה משרת השליטה והבקרה Firebase, או כאשר מתרחש אירוע שהוגדר מראש, דוגמת שינוי במצב החיבור לאינטרנט, התקנה או הסרה של האפליקציה, התקשרות למספר טלפון או קבלת שיחה, שליחה או קבלה של הודעת SMS, חיבור של הטלפון למטען או ניתוק מטעינה, או הפעלה מחדש של המכשיר.

כשאחד מבין האירועים האלה קורה, AridSpy מתחילה לאסוף נתונים שונים של הקורבן ומעלה אותם לשרת שעוסק בשליטה ובקרה על חילוץ הנתונים. הנוזקה יכולה לאסוף את הנתונים הבאים: מיקום המכשיר, רשימת אנשי הקשר, יומני השיחות, תמונות מוקטנות (תצוגה מקדימה) של תמונות וסרטונים מהגלריה, הקלטות של שיחות טלפון, הקלטות של צלילי רקע, תמונות שצולמו על ידי הנוזקה, בסיסי נתונים של ווטסאפ, קבצים מאחסון חיצוני, היסטוריה של ווטסאפ ופייסבוק מסנג'ר, התראות שהתקבלו ועוד רבים אחרים.

לדברי אלכס שטיינבג, מנהל מוצרים ב-ESET, "זו עוד דוגמה לקבוצת תקיפה שמבצעת קמפיין ריגול במזרח התיכון, בדומה לקבוצת פולוניום, שתקפה מטרות ישראליות. נראה ששכנעו את המשתמשים להוריד ולהתקין אפליקציות שלא מחנות האפליקציות – על מנת לגנוב מידע".