关于Arid Viper黑客使用安卓间谍软件在埃及和巴勒斯坦进行间谍活动的分析

　　Arid Viper(也称为Desert Falcon)是一个恶意软件组织，被怀疑与中东地区的网络间谍活动有关。他们使用高度定制的间谍软件来进行针对性的网络攻击和数据窃取。Arid Viper 的主要目标地区包括埃及、巴勒斯坦等国家。

　　这个黑客组织经常利用社会工程和定向网络攻击手段，通过钓鱼邮件、恶意链接或应用程序等方式，诱使目标用户安装恶意软件。一旦成功侵入受害者设备，Arid Viper 将收集敏感信息，如通信记录、位置数据、文件内容等，并将这些数据传输至攻击者控制的服务器。

　　Arid Viper 黑客组织的行动显示出其具有高度的技术水平和专业化程度，他们可能受到某些政府或组织的支持。该组织的活动对受影响的个人和组织带来了严重的隐私和安全威胁。

　　一、基本内容

　　网络安全提供商ESET的研究人员在2022年发现了五起网络间谍活动，以木马应用程序为目标，针对埃及和巴勒斯坦的安卓用户。

　　在一份新报告中，ESET提供了关于这些活动的进一步细节，并将其中度确认为Arid Viper黑客组织所为。

　　ESET的研究人员将用于感染目标安卓应用程序的多阶段间谍软件命名为"AridSpy"。

　　这些网络间谍活动依赖于分发网站，受害者可以从这些网站下载并手动安装安卓应用程序。

　　其中一些应用程序似乎是合法的聊天应用程序，但内部携带了专门设计用于间谍目的的恶意代码，即AridSpy恶意软件。

　　这些恶意应用程序冒充NortirChat、LapizaChat、ReblyChat、PariberyChat和RenatChat等名称。

　　在ESET发布其分析时，使用前三个被木马化的聊天应用程序进行的攻击仍在继续，而后两个已经停止。

　　"ESET的研究人员补充说：“请注意，这些恶意应用程序从未通过Google Play提供，并且是从第三方网站下载的。为了安装这些应用程序，潜在受害者需要启用非默认的安卓选项，允许从未知来源安装应用程序。”

　　除了木马化的聊天应用程序之外，AridSpy背后的黑客还使用了两个表面上合法的应用程序，这些应用程序在同一专用网站上进行分发：一个是“巴勒斯坦民事登记”应用程序，另一个是阿拉伯语的工作机会应用程序。

　　前者是受到Google Play商店上现有应用程序的启发，而后者则是黑客们纯粹的创作。

　　2021年的Zimperium和2022年的360 Beacon Labs对当时未命名的AridSpy进行的早期分析显示，之前版本的间谍软件只包含一个阶段。它明显参与了于2022年12月针对卡塔尔世界杯的恶意活动。

　　ESET的博客透露，这款间谍软件已经进化为更高级的三阶段木马负载，并通过初始被木马化的应用程序从命令和控制(C2)服务器下载了额外的负载。

　　第二阶段木马的目的是通过窃取受害者数据进行间谍活动。

　　AridSpy还具有硬编码的内部版本号，在这五个活动中与之前披露的其他样本不同。

　　"ESET的研究人员补充说：“这些信息表明AridSpy正在维护并可能会接收更新或功能变更。”

　　研究人员发现了六起AridSpy的事件，所有这些事件都针对巴勒斯坦和埃及的用户。

　　“在巴勒斯坦注册的大部分间谍软件实例是针对恶意的“巴勒斯坦民事登记”应用程序，还有一项检测结果不属于此篇博客中提到的任何活动。然后我们在埃及发现了相同的第一阶段木马负载，但使用了不同的包名。在埃及还检测到了另一个第一阶段木马负载，该木马使用与LapizaChat和工作机会活动中的样本相同的[C2]服务器。”ESET的博客中写道。

　　ESET将Arid Viper归因为以下两个指标：

　　AridSpy的目标是巴勒斯坦和埃及的组织，符合Arid Viper典型攻击目标的一个子集。

　　多个AridSpy分发网站使用了一个名为myScript.js的独特恶意JavaScript文件，此文件之前已经被360 Beacon Labs和FOFA网络搜索引擎与Arid Viper联系起来。

　　Arid Viper是一个自2013年以来一直针对中东国家的网络间谍组织，也被称为APT-C-23、Desert Falcons或Two-tailed Scorpion。

　　该组织的恶意活动首次在2015年被报道。

　　该组织通常以个人为目标，窃取敏感和机密数据，并具备开发针对Android、iOS和Windows平台的恶意软件和间谍软件的专门技能。

　　他们通常将其恶意软件伪装成热门应用程序的更新，例如WhatsApp、Signal或Telegram。他们还可能发送包含指向恶意网站的链接的钓鱼邮件。

　　Arid Viper黑客的位置仍然未知。

　　二、分析研判

　　ESET的研究人员认定这些网络间谍活动与Arid Viper黑客组织有关。

　　使用多阶段间谍软件“AridSpy”进行攻击，其中一些恶意应用程序冒充合法聊天应用程序。

　　黑客组织还使用表面上合法的应用程序，如“巴勒斯坦民事登记”和阿拉伯语的工作机会应用程序，来进行分发。

　　攻击者依赖分发网站，受害者从这些网站下载并手动安装恶意应用程序。

　　部分应用程序看似合法，但内含专门设计用于间谍目的的恶意代码。

　　黑客组织还利用社会工程手段，将恶意软件伪装成热门应用程序的更新或通过钓鱼邮件传播。

　　AridSpy恶意软件不断进化，从早期版本的单一阶段发展为更高级的三阶段木马负载。

　　第二阶段木马用于窃取受害者数据，显示黑客组织的具体间谍行动目的。

　　APT-C-23、Desert Falcons或Two-tailed Scorpion等称号被用于归因Arid Viper组织。

　　这个组织已经被追踪至2013年，在中东国家针对个人进行网络间谍活动。

　　三、应对策略

　　保持操作系统和应用程序更新：及时安装设备和应用程序的最新安全更新，以修复已知漏洞并提高系统的整体安全性。

　　仅从可信来源下载应用程序：尽量避免从未知、非官方的应用程序来源下载应用程序，特别是来自第三方网站。应优先选择官方应用商店(如Google Play)中的应用程序。

　　启用应用程序安全设置：在设备上启用非默认选项，以阻止从未知来源安装应用程序。这有助于阻止恶意应用程序的安装。

　　提高网络安全意识：组织和个人应加强网络安全意识，了解常见的网络威胁和攻击手段，警惕钓鱼邮件、恶意链接等社交工程技术。

　　安装可信的安全软件：使用可靠的安全软件或杀毒软件来检测和阻止恶意应用程序的安装和执行。