El equipo de ESET Research ha identificado cinco campañas de ciberespionaje que distribuyen aplicaciones troyanizadas, diseñadas para atacar dispositivos Android, dirigidas principalmente a usuarios en Palestina y Egipto. Estas campañas, atribuidas al grupo de ciberespionaje Arid Viper (también conocido como APT-C-23 o Desert Falcons), utilizan un spyware de múltiples etapas llamado AridSpy, que permite a los atacantes espiar y recopilar información sensible de los dispositivos infectados.
Cómo actúa el spyware AridSpy
El spyware AridSpy se distribuye a través de sitios web que imitan aplicaciones populares de mensajería, ofertas de empleo y una aplicación del Registro Civil Palestino. Una vez que las víctimas descargan e instalan estas apps aparentemente legítimas, los atacantes obtienen acceso remoto a los dispositivos, pudiendo monitorizar la actividad del usuario y recolectar datos sensibles. Entre la información que AridSpy puede recopilar se encuentran la ubicación del dispositivo, registros de llamadas, mensajes de texto, fotos, videos, grabaciones de llamadas y bases de datos de WhatsApp.
Según Lukáš Štefanko, investigador de ESET, «los atacantes utilizan aplicaciones falsas pero funcionales para convencer a las víctimas de que las descarguen, y una vez que el usuario lo hace, se activa un script que descarga el archivo malicioso». Este spyware destaca por su capacidad de evitar la detección, ya que puede descargar payloads adicionales desde su servidor de mando y control (C&C), modificando su comportamiento y haciendo más difícil su identificación.
Aplicaciones troyanizadas y distribución del malware
De las aplicaciones afectadas, tres se distribuyeron a través de sitios web que imitaban versiones legítimas de apps como LapizaChat, StealthChat, NortirChat (basada en Session) y ReblyChat (basada en Voxer Walkie Talkie Messenger). Estas apps no estaban disponibles en Google Play, lo que obligaba a las víctimas a habilitar la instalación de aplicaciones desde fuentes desconocidas, un paso que facilitaba la propagación del malware.
Uno de los casos más preocupantes fue el uso de una versión troyanizada de la app del Registro Civil Palestino, que aunque basada en una aplicación legítima disponible previamente en Google Play, había sido alterada para extraer datos sensibles a través del servidor original de la aplicación.
La amenaza de Arid Viper
Arid Viper es un grupo de ciberespionaje conocido por sus ataques dirigidos a países de Oriente Medio. Su arsenal de malware, que afecta tanto a Android como a iOS y Windows, lo convierte en una de las amenazas más notables en la región. El grupo ha utilizado ingeniería inversa para crear versiones maliciosas de aplicaciones legítimas, lo que les permite acceder a una gran cantidad de información de las víctimas.
Lo que hace particularmente peligrosa la operación de Arid Viper es la capacidad de AridSpy para evadir la detección durante largos periodos de tiempo. El malware puede desactivarse temporalmente cuando detecta eventos como cambios en la conectividad de internet, llamadas entrantes o salientes, el envío de SMS o la conexión de un cargador, lo que le permite mantener un perfil bajo y continuar espiando sin ser detectado.
El descubrimiento de estas campañas de ciberespionaje por parte de ESET Research pone de manifiesto la creciente sofisticación de las amenazas dirigidas a dispositivos móviles en la región de Oriente Medio. Arid Viper, con su capacidad de evadir la detección y su enfoque en recolectar datos altamente sensibles, representa un riesgo significativo para los usuarios de Android en Palestina, Egipto y otros países cercanos.
