Computable.nl
  • Thema’s
    • Carrière
    • Innovatie & Transformatie
    • Cloud & Infrastructuur
    • Data & AI
    • Governance & Privacy
    • Security & Awareness
    • Software & Development
    • Werkplek & Beheer
  • Sectoren
    • Channel
    • Financiële dienstverlening
    • Logistiek
    • Onderwijs
    • Overheid
    • Zorg
  • Computable Awards
    • Overzicht
    • Nieuws
    • Winnaars
    • Partner worden
  • Vacatures
    • Vacatures bekijken
    • Vacatures plaatsen
  • Bedrijven
    • Profielen
    • Producten & Diensten
  • Kennisbank
  • Nieuwsbrief
Onderstaande bijdrage is van een externe partij. De redactie is niet verantwoordelijk voor de geboden informatie.
©

ESET Research : Arid Viper-groep richt zich op Palestijnse app

13 juni 20245 minuten leestijdSecurity & AwarenessKey Communications

ESET Research identificeerde vijf campagnes die gebruik maakten van getrojaniseerde apps om Android-gebruikers te treffen. Deze campagnes zijn wellicht uitgevoerd door de Arid Viper APT-groep en in 2022 opgestart. Drie campagnes zijn nog aan de gang bij de publicatie van dit persbericht. In meerdere stappen installeren ze een Android-spyware, door ESET AridSpy genoemd, die vanaf de Command & Control (C&C)-server payloads in twee stappen downloadt om detectie te voorkomen.

·       ESET Research ontdekt Android-malware met meerdere niveaus, door ESET AridSpy genaamd, en gedistribueerd door vijf specifieke websites.

·       ESET ontdekt dat AridSpy in Palestina en Egypte verscheen en schrijft het toe, met middelmatige zekerheid, aan de Arid Viper APT-groep.

·       Soms wordt AridSpy-code geïntegreerd in apps die legitieme functionaliteiten bieden.

·       AridSpy, een op afstand bestuurbare Trojaan, bespioneert gebruikersgegevens zoals berichten-apps en exfiltreert, onder andere, de data van toestellen.

 

BRATISLAVA, 13 juni 2024 — ESET Research identificeerde vijf campagnes die gebruik maakten van getrojaniseerde apps om Android-gebruikers te treffen. Deze campagnes zijn wellicht uitgevoerd door de Arid Viper APT-groep en in 2022 opgestart. Drie campagnes zijn nog aan de gang bij de publicatie van dit persbericht. In meerdere stappen installeren ze een Android-spyware, door ESET AridSpy genoemd, die vanaf de Command & Control (C&C)-server payloads in twee stappen downloadt om detectie te voorkomen. De malware wordt verspreid via speciale sites die zich voordoen als berichtenapps, een app voor vacatures en een Palestijnse app voor de burgerlijke stand. ESET Research detecteerde AridSpy, de op afstand bestuurbare Trojaan die zich in Palestina en Egypte richt  op het stelen van gebruikersgegevens.

Arid Viper, ook bekend als APT-C-23, Desert Falcons of Two-tailed Scorpion, is een cyberspionagegroep die zich richt op landen in het Midden-Oosten. De groep trok door de jaren heen de aandacht door zijn enorme arsenaal aan malware voor Android-, iOS- en Windows-platformen.

Drie kwaadaardige apps, aangeboden door nabootsingswebsites, zijn legitieme apps die geïnfecteerd werden met AridSpy-spyware. Ze werden nooit op Google Play aangeboden en worden enkel gedownload van sites van derden. Om ze te installeren moet het potentiële slachtoffer de Android-optie inschakelen die toelaat om apps van onbekende bronnen te installeren. In Palestina was het merendeel van de spyware bestemd voor de kwaadaardige Burgerlijke Stand-app.

“Om een eerste toegang te hebben tot het toestel, proberen de bedreigingsactoren hun potentiële slachtoffer ervan te overtuigen een nep,maar werkende, app te installeren. Als het doelwit op de downloadknop myScript.js van de site  klikt, die op dezelfde server wordt gehost, wordt het juiste downloadpad voor het kwaadaardige bestand gegenereerd en uitgevoerd”, zegt Lukáš Štefanko, de ESET-onderzoeker die AridSpy heeft ontdekt.

Een van de campagnes omvatte LapizaChat, een kwaadaardige Android-berichtenapp met getrojaniseerde versies van StealthChat: Private Messaging gebundeld met kwaadaardige AridSpy-code. ESET identificeerde twee andere campagnes die AridSpy na LapizaChat begonnen te distribueren en die zich voordeden als de berichtenapps NortirChat en ReblyChat. NortirChat is gebaseerd op Session, de legitieme berichten-app. ReblyChat is gebaseerd op de legitieme Voxer Walkie Talkie Messenger.

De Palestijnse Burgerlijke Stand-app is geïnspireerd op een app die eerder beschikbaar was op Google Play. Volgens het ESET-onderzoek is de kwaadaardige app die online beschikbaar is, geen trojaanversie van de app op Google Play. Wel gebruikt het de legitieme server van deze app om informatie op te halen. Arid Viper liet zich daarom inspireren door de functionaliteiten van deze app, maar creëerde een eigen cliënt die met de legitieme server communiceert. Arid Viper heeft waarschijnlijk de legitieme Android-app op Google Play reverse-gëngineered alsook de server om de gegevens van de slachtoffers te scrapen. In de nieuwste door ESET geïdentificeerde campagne wordt AridSpy verspreidt als een vacature-app.

AridSpy heeft een functie om netwerkdetectie te voorkomen, meer bepaald C&C-communicatie. Het kan zichzelf uitschakelen, zoals AridSpy in de code aangeeft. Gegevens-exfiltratie begint door het ontvangen van een opdracht van de Firebase C&C-server of als een specifiek gedefinieerde actie geactiveerd wordt. Deze acties omvatten wijzigingen in de internetverbinding, het installeren of verwijderen van een app, het maken of ontvangen van een telefoongesprek, het verzenden of ontvangen van sms-berichten, het aansluiten of loskoppelen van een batterijlader, of wanneer het toestel opnieuw wordt opgestart.

Doet een van deze gebeurtenissen zich voor, dan verzamelt AridSpy verschillende slachtoffergegevens en uploadt deze op de C&C-exfiltratieserver. Het verzamelt de locatie van het toestel; contactlijsten; oproeplogboeken; tekstberichten; thumbnails van opgenomen foto’s en video’s; opgenomen telefoongesprekken; audio-opnames van de omgeving; foto’s gemaakt door malware; WhatsApp-databases met uitgewisselde berichten en gebruikerscontacten; bladwijzers en zoekgeschiedenis van de standaardbrowser en van Chrome-, Samsung Browser- en Firefox-apps, indien geïnstalleerd; bestanden van de externe opslag; Facebook Messenger en WhatsApp-communicatie; en alle ontvangen meldingen.

Lees, voor meer informatie over AridSpy, de blog “Arid Viper poisons Android apps with AridSpy.” Voor het laatste nieuws over ESET Research volgt u ESET Research on Twitter (today known as X) 

OVER ESET

ESET® biedt geavanceerde digitale beveiliging om aanvallen te voorkomen voor ze plaatsvinden. Door de kracht van AI en menselijke expertise te combineren, blijft ESET bekende en opkomende cyberdreigingen een stap voor, zodat bedrijven, kritieke infrastructuur en individuen beveiligd zijn. Gaat het om endpoint-, cloud- of mobiele bescherming, de ESET AI-native, cloud-first oplossingen en diensten blijven zeer efficiënt en gebruiksvriendelijk. De technologie van ESET biedt robuuste detectie en respons, ultraveilige encryptie en meervoudige authenticatie.

De 24/7 realtime verdediging en sterke lokale ondersteuning zorgt ervoor dat gebruikers veilig zijn en dat bedrijven zonder onderbrekingen kunnen blijven draaien. Een digitaal landschap in constante evolutie vereist een progressieve benadering van de beveiliging: ESET zet zich in voor onderzoek van wereldklasse en krachtige informatie over dreigingen, ondersteund door R&D-centra en een sterk partnernetwerk op wereldvlak. Ga voor meer informatie naar www.eset.com. of volg ons op LinkedIn, Facebook,  X en https://www.est.com/be-nl/

Meer lezen

Deel

    Inschrijven nieuwsbrief Computable

    Door te klikken op inschrijven geef je toestemming aan Jaarbeurs B.V. om je naam en e-mailadres te verwerken voor het verzenden van een of meer mailings namens Computable. Je kunt je toestemming te allen tijde intrekken via de af­meld­func­tie in de nieuwsbrief.
    Wil je weten hoe Jaarbeurs B.V. omgaat met jouw per­soons­ge­ge­vens? Klik dan hier voor ons privacy statement.

    Whitepapers

    Computable.nl

    GenAI: Veiligheidsrisico of wapen tegen dreiging?

    Wat AI betekent voor jouw securityaanpak? Alles over de risico’s en strategieën om GenAI verantwoord in te zetten.

    Computable.nl

    Bouw de AI-organisatie niet op los zand

    Wat is de afweging tussen zelf bouwen of het benutten van cloud?

    Computable.nl

    Slimme connectiviteit: de toekomst van bouwen

    Hoe stoom jij jouw organisatie in de bouw en installatie sector klaar voor de digitale toekomst?

    Meer lezen

    Innovatie & Transformatie

    Kort: TU/e lanceert nieuw high-tech-onderzoeksinstituut, veel minder cyberincidenten in Nederland (en meer)

    ActueelOverheid

    KPN en Thales bouwen soevereine cloud voor Defensie

    ActueelSoftware & Development

    Kort: Elastique op Sri Lankaans avontuur, Panasonic helpt The AA, Main koopt Carwise-duo (en meer)

    OpinieSecurity & Awareness

    Kan ai einde maken aan tekort aan vaardigheden in soc?

    ActueelOverheid

    Vertraging bij implementatie NIS2 loopt enorm op

    Nationale Politie
    ActueelOverheid

    Politie tijdens NAVO-top beter voorbereid op uitval van C2000

    Populaire berichten

    Meer artikelen

    Uitgelicht

    Partnerartikel
    AdvertorialInnovatie & Transformatie

    Computable Insights

    Een ai-agent die klantvragen afhandelt. Dat is een van de nieuwste troeven van softwareproducent Salesforce, dat daarmee meesurft op de...

    Meer persberichten

    Footer

    Direct naar

    • Carrièretests
    • Kennisbank
    • Planning
    • Computable Awards
    • Magazine
    • Abonneren Magazine
    • Cybersec e-Magazine

    Producten

    • Adverteren en meer…
    • Jouw Producten en Bedrijfsprofiel
    • Whitepapers & Leads
    • Vacatures & Employer Branding
    • Persberichten

    Contact

    • Colofon
    • Computable en de AVG
    • Service & contact
    • Inschrijven nieuwsbrief
    • Inlog

    Social

    • Facebook
    • X
    • LinkedIn
    • YouTube
    • Instagram
    © 2025 Jaarbeurs
    • Disclaimer
    • Gebruikersvoorwaarden
    • Privacy statement
    Computable.nl is een product van Jaarbeurs