Notícias de dispositivos móveis, gadgets, aplicativos Android

Arid Viper rouba dados confidenciais de dispositivos Android e Android Implantar outro malware

De acordo com relat√≥rios recentes, usu√°rios de Android que falam √°rabe foram alvo de spyware pelo ator de amea√ßa ‚ÄúArid Viper‚ÄĚ, tamb√©m conhecido como APT-C-23, Desert Falcon ou TAG-63). Este ator de amea√ßa tem usado aplicativos de namoro falsificados projetados para exfiltrar dados de dispositivos comprometidos.

Arid Viper √© um grupo de espionagem cibern√©tica ativo desde 2017. Especula-se que esse ator de amea√ßa esteja associado ao Hamas, um movimento militante isl√Ęmico. Para comprometer as v√≠timas, o Arid Viper usa links maliciosos disfar√ßados de atualiza√ß√Ķes de aplicativos de namoro que entregam malware ao dispositivo do usu√°rio.

Aplicativos maliciosos semelhantes a aplicativos n√£o maliciosos

O malware fornecido pelo grupo de amea√ßas parece ter semelhan√ßas com um aplicativo leg√≠timo de namoro online chamado ‚ÄúSkipped‚ÄĚ, que cria suspeitas sobre se os atores da amea√ßa est√£o vinculados aos desenvolvedores do aplicativo ou adquiriram uma c√≥pia do recurso do aplicativo para falsificar.

Documento

No entanto, tamb√©m foram detectados outros aplicativos que possuem temas semelhantes, como ‚ÄúIgnorado‚ÄĚ e est√£o dispon√≠veis no Google Play Store e App Store.

As aplica√ß√Ķes foram VIVIO, Meeted, SKIPPED e Joostly. Ignorado e Joostly combinados cont√™m 60.000 downloads no Google Play Store.

Uma vez instalado, esse malware se esconde desativando as notifica√ß√Ķes de seguran√ßa de qualquer sistema operacional Android que contenha o pacote APK de ‚Äúseguran√ßa‚ÄĚ.

Ele tamb√©m solicita permiss√Ķes como microfone, c√Ęmera, contatos, registros de chamadas, mensagens SMS, configura√ß√Ķes de Wi-Fi, aplicativos em segundo plano, fotos e SYSTEM para fins maliciosos.

Al√©m disso, o malware tamb√©m √© capaz de recuperar informa√ß√Ķes do sistema, atualizar o dom√≠nio C&C do C2 atual e baixar malware adicional que est√° oculto sob nomes de aplicativos leg√≠timos, como FacebookMensageiro, Instagrame WhatsApp.

N√≥s recomendamos:  Unicredit: dados de mais de tr√™s milh√Ķes de usu√°rios em risco

A relat√≥rio completo sobre esse malware foi publicado pela Cisco Talos, que fornece informa√ß√Ķes detalhadas sobre o malware, o agente da amea√ßa e outras informa√ß√Ķes adicionais.

Indicadores de compromisso

Cisco Talos forneceu um repositório GitHub contendo IOCs relacionados a esta pesquisa.

  • d5e59be8ad9418bebca786b3a0a681f7e97ea6374f379b0c4352fee1219b3c29
  • 8667482470edd4f7d484857fea5b560abe62553f299f25bb652f4c6baf697964
  • d69cf49f703409bc01ff188902d88858a6237a2b4b0124d553a9fc490e8df68a
  • 1b6113f2faf070d078a643d77f09d4ca65410cf944a89530549fc1bebdb88c8c
  • 57fb9daf70417c3cbe390ac44979437c33802a049f7ab2d0e9b69f53763028c5
  • f91e88dadc38e48215c81200920f0ac517da068ef00a75b1b67e3a0cd27a6552
  • a8ca778c5852ae05344ac60b01ad7f43bb21bd8aa709ea1bb03d23bde3146885
  • fb9306f6a0cacce21afd67d0887d7254172f61c7390fc06612c2ca9b55d28f80
  • 682b58cad9e815196b7d7ccf04ab7383a9bbf1f74e65679e6c708f2219b8692b
  • e0e2a101ede6ccc266d2f7b7068b813d65afa4a3f65cb0c19eb73716f67983f7
  • f15a22d2bdfa42d2297bd03c43413b36849f78b55360f2ad013493912b13378a
  • ee7e5bd5254fff480f2b39bfc9dc17ccdad0b208ba59c010add52aee5187ed7f
  • ee98fd4db0b153832b1d64d4fea1af86aff152758fe6b19d01438bc9940f2516
  • 9a7b9edddc3cd450aadc7340454465bd02c8619dda25c1ce8df12a87073e4a1f
  • 33ae5c96f8589cc8bcd2f5152ba360ca61f93ef406369966e69428989583a14e

IOCs de rede

  • luis-dubuque[.]em
  • Haroldramsey[.]UTI
  • Danny Cartwright[.]empresa[.]em
  • Conner Margie[.]com
  • Junius Cassin[.]com
  • Junius Cassin[.]com
  • hxxps[://]orin-weimann[.]com/abc/Update%20Services[.]APK
  • hxxps[://]chaves jack[.]site/download/okOqphD
  • hxxps[://]Elizabeth Steiner[.]tecnologia/download/HwIFlqt
  • hxxps[://]orin-weimann[.]com/abc/sinal[.]APK
  • hxxps[://]lightroom-61eb2[.]firebaseio[.]com/
  • hxxps[://]teste ignorado no aplicativo[.]firebaseio[.]com/

Table of Contents