Cisco Talosのサイバーセキュリティ専門家は、諜報活動を目的とするArid Viper高度持続的脅威(APT)グループの最新の作戦を暴露しました。2022年4月以降に活動しているこの新たなキャンペーンは、アラビア語を話すAndroidユーザーを標的にしてきました。
本日早くに公開された勧告によると、Arid Viperのmodus operandi(犯行手口)は、Android Package(APK)形式のカスタマイズされたモバイルマルウェアの展開を伴います。
Arid Viperキャンペーンをめぐる主要な謎の一つは、脅威アクターとイスラエル・ハマス紛争との関連の可能性です。しかし、そのような関連を裏付ける、あるいは否定する具体的な証拠はない点に留意することが重要です。Cisco Talosは、調査結果を公表する前に、法執行機関と緊密に連携しながら徹底したデューデリジェンスを実施したと述べています。
技術的観点から見ると、この作戦の興味深い側面の一つは、Arid Viperのモバイルマルウェアが「Skipped」と呼ばれる正規の出会い系アプリケーションと驚くほど似ていることです。このマルウェアは類似した名称を共有しているだけでなく、Firebaseアプリケーション開発プラットフォーム上で同じプロジェクトまで利用しています。
この関連性は、Arid Viperがその出会い系アプリの開発者と関係を持っているのか、それとも共有プロジェクトに不正にアクセスしたのかという疑問を提起します。
Arid Viperの詳細はこちら:Microsoft OfficeおよびPDF文書を介して展開されるEscanor RATマルウェア
疑いを持たないユーザーを誘い込み、悪意のあるモバイルソフトウェアをダウンロードさせるために、Arid Viperの工作員は正規の出会い系アプリの更新を装ったリンクを配布します。これらのリンクは被害者の デバイスにマルウェアを展開します。
このAndroidマルウェアには、セキュリティ通知を無効化する機能、機密情報を窃取する機能、侵害されたデバイスに追加の悪意あるアプリケーションを注入する機能など、複数の機能が備わっています。
Cisco Talosによる調査では、Skippedに関連する出会い系テーマのアプリケーションからなる複雑なネットワークも明らかになりました。特に、Skippedの発行元であるSkipped GmbHはドイツ拠点の組織で、シンガポールおよびドバイの企業が公開する多数の出会い系アプリと関係しているように見受けられます。これらのアプリケーションの多くは、継続的なやり取りのために「コイン」 の購入をユーザーに促しており、APTオペレーターに収益をもたらしている可能性があります。
翻訳元: https://www.infosecurity-magazine.com/news/arid-viper-targets-arabic-speaking/
