Хакерская группировка Arid Viper (APT-C-23, Desert Falcon, TAG-63) запустила шпионскую кампанию, используя поддельное приложение знакомств для Android-устройств, ориентированное на арабоязычных пользователей. По даннымкомпании Cisco Talos, вредоносное ПО способно незаметно собирать конфиденциальные данные с зараженных устройств и устанавливать дополнительное вредоносное ПО.
Активность группы Arid Viper, связанной с ХАМАС из-за схожести инфраструктуры, отслеживается с 2017 года, но обнаруженная кампания началась в апреле 2022 года и не связана с израильско-палестинским конфликтом.
Киберпреступники использовали код легитимного приложения для знакомств Skipped, что указывает на возможное копирование функций для обмана пользователей. Схожие приложения, предположительно разработанные Arid Viper, доступны в официальных магазинах приложений, что может свидетельствовать о планах использовать их в будущих кибератаках.
Метод атаки включает в себя перенаправление жертв на видеоролик с инструкцией по приложению для знакомств, где в описании скрытая ссылка ведет на вредоносное ПО. Это ПО маскируется на зараженных устройствах, отключая системные уведомления и запросы на повышенные привилегии для доступа к личным данным.
Помимо сбора информации о системе, программа может загружать дополнительное вредоносное ПО, маскирующееся под популярные приложения, такие как Facebook* Messenger, Instagram* и WhatsApp.
*Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.