ESET Research ha identificado cinco campañas que distribuyen aplicaciones troyanizadas para atacar dispositivos Android, dirigidas principalmente a usuarios en Palestina y Egipto. Estas campañas, atribuidas al grupo de ciberespionaje Arid Viper, emplean un spyware de múltiples etapas, bautizado como AridSpy, que permite a los atacantes espiar y recopilar información sensible de los dispositivos infectados.
El spyware AridSpy se distribuye a través de sitios web que imitan aplicaciones de mensajería, una aplicación de ofertas de empleo y una aplicación del Registro Civil Palestino. Al instalar estas apps, los atacantes logran acceso remoto al dispositivo, permitiéndoles monitorizar las actividades de los usuarios. Este malware es especialmente peligroso debido a su capacidad para evitar la detección mediante la descarga de payloads adicionales desde su servidor de Command & Control (C&C), lo que le permite modificar su comportamiento y dificultar su identificación.
“Para obtener acceso inicial al dispositivo, los atacantes utilizan aplicaciones falsas pero funcionales, convenciendo a las víctimas de descargarlas. Una vez que el usuario pulsa el botón de descarga, un script genera la ruta para descargar el archivo malicioso”, explica Lukáš Štefanko, investigador de ESET que descubrió AridSpy.
Arid Viper: Un grupo con una trayectoria preocupante
Arid Viper, también conocido como APT-C-23, Desert Falcons o Two-tailed Scorpion, es un grupo de ciberespionaje que ha centrado sus ataques en países de Oriente Medio, y cuyo vasto arsenal de malware dirigido a plataformas Android, iOS y Windows lo convierte en una amenaza notable en la región.
De las aplicaciones afectadas, tres se distribuyeron a través de sitios web que imitaban versiones legítimas de apps como LapizaChat, StealthChat, NortirChat (basada en la app Session) y ReblyChat (basada en Voxer Walkie Talkie Messenger). Todas estas aplicaciones fueron troyanizadas para incluir el código malicioso de AridSpy. Cabe destacar que ninguna de ellas estuvo disponible en Google Play, lo que obligaba a las víctimas a habilitar la opción de instalar aplicaciones desde fuentes desconocidas.
Ingeniería inversa y espionaje masivo
Uno de los casos más alarmantes es el de la aplicación del Registro Civil Palestino. Aunque se basa en una aplicación legítima que estuvo previamente disponible en Google Play, la versión maliciosa identificada por ESET utiliza el servidor legítimo de dicha aplicación para extraer datos sensibles. Según los investigadores de ESET, es probable que Arid Viper haya realizado ingeniería inversa en la aplicación original y desarrollado una versión propia que permite acceder a la información de las víctimas utilizando la infraestructura original del servidor. Entre los datos que AridSpy puede recolectar se incluyen la ubicación del dispositivo, registros de llamadas, mensajes de texto, fotos, videos, grabaciones de llamadas y audio ambiente, bases de datos de WhatsApp, y más.
Además, AridSpy destaca por su capacidad para evadir la detección. El malware puede desactivarse a sí mismo en función de varios eventos, como cambios en la conectividad de internet, llamadas entrantes o salientes, el envío de SMS o la conexión del cargador. Esta capacidad de adaptación lo convierte en una herramienta altamente sofisticada para el espionaje, permitiendo a los atacantes controlar el dispositivo infectado durante largos periodos sin ser detectados.
Para acceder a los aspectos más técnicos de AridSpy, ESET ha publicado un análisis detallado en WeLiveSecurity.