La seguridad en dispositivos móviles enfrenta una nueva amenaza con el reciente lanzamiento de una campaña de espionaje por parte del grupo de cibercriminales Arid Viper. Utilizando un malware denominado AridSpy, este grupo está apuntando a dispositivos móviles para acceder a datos sensibles y monitorear las actividades de las víctimas. En este artículo, exploraremos los detalles de esta campaña maliciosa, cómo funciona AridSpy y qué medidas puedes tomar para proteger tu información personal y profesional.
El grupo de hackers conocido como Arid Viper ha lanzado una campaña de espionaje móvil utilizando aplicaciones troyanizadas de Android para distribuir un software espía llamado AridSpy.
El malware se propaga a través de sitios web que se hacen pasar por aplicaciones legítimas de mensajería, una aplicación de oportunidades laborales y una aplicación del Registro Civil Palestino. Estas aplicaciones, que parecen legítimas, han sido modificadas para incluir el código malicioso de AridSpy.
La actividad del grupo se ha extendido a lo largo de cinco campañas desde 2022, con variantes anteriores de AridSpy documentadas por Zimperium y 360 Beacon Labs. Tres de estas cinco campañas siguen activas.
Arid Viper, también conocido como APT-C-23, Desert Falcon, Gray Karkadann, Mantis y Two-tailed Scorpion, es un grupo sospechoso de estar afiliado a Hamas y tiene un historial significativo en el uso de malware móvil desde su aparición en 2017. Históricamente, Arid Viper ha centrado sus ataques en personal militar del Medio Oriente, así como en periodistas y disidentes. El grupo continúa prosperando en el ámbito del malware móvil.
El análisis de la última versión de AridSpy muestra que este se ha convertido en un troyano de varias etapas capaz de descargar cargas útiles adicionales desde un servidor de comando y control (C2) a través de la aplicación troyanizada inicial.
Las cadenas de ataque de Arid Viper se dirigen principalmente a usuarios en Palestina y Egipto, utilizando sitios web falsos que actúan como puntos de distribución para las aplicaciones maliciosas.
Algunas de estas aplicaciones fraudulentas pero funcionales se presentan como servicios de mensajería seguros, como LapizaChat, NortirChat y ReblyChat, basados en aplicaciones legítimas como StealthChat, Session y Voxer Walkie Talkie Messenger. Otra aplicación pretende ser del Registro Civil Palestino.
Conoce más sobre: AridViper: Desentrañando al Actor de Ciberamenazas
También se descubrió que el sitio web del Registro Civil Palestino ("palcivilreg[.]com"), registrado el 30 de mayo de 2023, se promociona a través de una página dedicada en Facebook con 179 seguidores. La aplicación disponible en este sitio web se basa en una aplicación legítima con el mismo nombre que se encuentra en Google Play Store.
La aplicación maliciosa en palcivilreg[.]com no es una versión modificada de la aplicación en Google Play, pero utiliza el servidor legítimo de la aplicación original para obtener información. Esto indica que Arid Viper creó su propia versión de la aplicación, que se comunica con el servidor legítimo, pero con fines maliciosos.
Además, se descubrió que AridSpy se distribuye bajo la apariencia de una aplicación de oportunidades laborales desde el sitio web "almoshell[.]website", registrado en agosto de 2023. Esta aplicación no se basa en ninguna aplicación legítima.
Una vez instalada, la aplicación maliciosa verifica la presencia de software de seguridad en el dispositivo y solo descarga la primera etapa de la carga útil si no detecta ningún software de seguridad. Esta carga útil se disfraza como una actualización de los servicios de Google Play.
La carga útil funciona independientemente, lo que significa que incluso si la víctima desinstala la aplicación inicial troyanizada, como LapizaChat, AridSpy seguirá operando sin interrupciones. La primera etapa de la carga útil se encarga de descargar el componente siguiente, que contiene la funcionalidad maliciosa y utiliza un dominio de Firebase para sus comunicaciones C2.
Este malware puede ejecutar una variedad de comandos para recopilar datos del dispositivo y puede desactivarse o realizar la exfiltración de datos cuando detecta un plan de datos móviles. La exfiltración de datos se activa mediante un comando o cuando se desencadena un evento específico.
Por ejemplo, si la víctima bloquea o desbloquea el teléfono, AridSpy tomará una fotografía con la cámara frontal y la enviará al servidor de exfiltración C&C. Las fotos se toman solo si han pasado más de 40 minutos desde la última fotografía y el nivel de batería está por encima del 15%.
Te podrá interesar leer: Riesgos en Aplicaciones:¿Cómo evitar el Malware Móvil?
La amenaza de Arid Viper resalta la importancia de mantener nuestros dispositivos móviles seguros. Aquí tienes algunas recomendaciones clave para protegerte:
1. Instala aplicaciones solo desde fuentes confiables: Descarga aplicaciones únicamente de tiendas oficiales, como Google Play Store o Apple App Store. Estas plataformas tienen mecanismos de seguridad para detectar aplicaciones maliciosas, aunque no son infalibles.
2. Verifica los permisos de las aplicaciones: Antes de instalar una aplicación, revisa los permisos que solicita. Si una aplicación de linterna pide acceso a tus contactos y mensajes, es una señal de alerta. Sé crítico y solo concede permisos necesarios para el funcionamiento de la aplicación.
3. Mantén tu dispositivo actualizado: Los fabricantes de dispositivos y desarrolladores de sistemas operativos lanzan actualizaciones para corregir vulnerabilidades de seguridad. Asegúrate de mantener tu sistema operativo y aplicaciones actualizados para protegerte contra exploits conocidos.
4. Utiliza software de seguridad móvil: Instalar una solución de seguridad móvil puede ayudarte a detectar y bloquear aplicaciones maliciosas y otros tipos de amenazas. Hay diversas opciones disponibles, tanto gratuitas como de pago, que pueden añadir una capa adicional de protección.
5. Activa la autenticación en dos pasos (2FA): La autenticación en dos pasos añade una capa extra de seguridad a tus cuentas. Incluso si un atacante logra obtener tu contraseña, necesitará un segundo factor (como un código enviado a tu teléfono) para acceder a tu cuenta.
6. Sé cauteloso con los enlaces y archivos adjuntos: No hagas clic en enlaces ni descargues archivos adjuntos de correos electrónicos o mensajes de texto sospechosos. Verifica siempre la fuente antes de interactuar con contenido desconocido.
7. Configura un bloqueo de pantalla seguro: Utiliza un PIN, contraseña, patrón o autenticación biométrica para bloquear tu dispositivo. Esto puede prevenir el acceso no autorizado en caso de pérdida o robo del dispositivo.
La campaña de espionaje móvil de Arid Viper es una señal de advertencia sobre la creciente sofisticación de los ataques cibernéticos dirigidos a dispositivos móviles. A medida que dependemos más de estos dispositivos para nuestras comunicaciones personales y profesionales, la seguridad debe ser una prioridad.
Siguiendo las recomendaciones de seguridad mencionadas, puedes reducir significativamente el riesgo de caer víctima de este tipo de ataques. Mantén tus dispositivos y datos seguros, y permanece informado sobre las últimas amenazas y mejores prácticas en ciberseguridad.
Recuerda, la seguridad cibernética no es una tarea única, sino un esfuerzo continuo. La conciencia y la precaución son tus mejores aliados en la lucha contra las amenazas cibernéticas.