据观察，与哈马斯有关的高级持续性威胁 (APT) 组织 Arid Viper 早在 2022 年就使用 Android 间谍软件 AridSpy。现在，研究人员首次对该恶意软件之前神秘的后期阶段进行了全面分析。

ESET 的研究人员最近发布了一份关于 AridSpy 活动的新报告，结果表明 AridSpy 是通过木马消息应用程序进行传播的。

报告称：“在这些攻击活动中，AridSpy 被改造成一个多阶段木马，最初的木马应用程序会从命令和控制服务器下载额外的有效载荷。”

报告称，研究人员分析了五起针对埃及和巴勒斯坦 Android 用户的 AridSpy 攻击活动。AridSpy 经常潜伏在具有合法功能的应用程序中，使其更难被发现。

ESET 表示，在本例中，巴勒斯坦的受害者被一款冒充巴勒斯坦民事登记处的恶意应用程序的广告所针对。在埃及，第一阶段的间谍软件隐藏在一款名为 LapizaChat 的应用程序中以及诈骗性质的工作机会发布中。这些应用程序可从威胁行为者控制的第三方网站（而非 Google Play）下载。

被木马感染的消息应用程序

分析表明，一旦第二阶段数据泄露开始，该威胁组织将能够收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知、视频录制缩略图，以及让网络犯罪分子能够录制音频、拍照等。

报告称，此前的分析显示，AridSpy 曾在 2022 年针对卡塔尔举行的 FIFA 世界杯以及中东地区的其他活动展开攻击。

ESET 警告称，专用网站仍在运行至少三个 AridSpy 间谍活动。

报告称：“截至本文发布时，发现的五个攻击活动中有三个仍然活跃；这些攻击活动使用专门的网站来分发冒充 NortirChat、LapizaChat 和 ReblyChat 的恶意应用程序、招聘信息……以及巴勒斯坦民事登记应用程序。”

随着时间的推移，Arid Viper 也可能会维护和改进 AridSpy 代码。

研究人员指出：“当然，第二阶段的有效载荷携带了最新的更新和恶意代码更改，这些更改可以推送到其他正在进行的活动。”“这些信息表明 AridSpy 得到了维护，可能会收到更新或功能更改。”

转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ah-zsfC8vkkcdVb7IBu_GQ

封面来源于网络，如有侵权请联系删除