К примеру, в августе 2023 года, группа DESERTVARNISH, связанная с ХАМАСом, распространяла мобильное приложение среди пользователей, находящихся в Израиле и Палестине под названием MOAAZDROID, оно предназначалось для системы Android и маскировалось под известное приложение Telegram. Программу нельзя было найти на площадке Play, и DESERTVARNISH, вероятно, ее распространяли ее через сообщения в WhatsApp. MOAAZDROID включает стандартные функции мобильного шпионского ПО, такие как, например, разрешения на чтение контактов и SMS-данных пользователей. MOAAZDROID также имеет разрешения на отправку SMS-сообщений, которые могут использоваться для фишинга дополнительных целей. Приложение сохраняет украденные данные в зашифрованном файле, отправляет их на контролируемую злоумышленниками специально отведенную для этого онлайн-инфраструктуру, а затем удаляет файл с устройства.
В октябре 2023 года была обнаружена обновленная версия – LOVELYDROID, мобильное шпионское приложение для Android, также непосредственно связанное с DESERTVARNISH, оно являлось зачинщиком сразу же нескольких активных «инфекций», которые затронули устройства пользователей, расположенных в Израиле. Обновленные образцы были по установленной информации созданы в середине 2023 года, однако не были опубликованы в магазине Play. Обновленный LOVELYDROID имел схожий код с предыдущими версиями и включал механизм коммуникации с системой управления и контроля, обычно используемый устройствами IoT. В него включены стандартные функции шпионского ПО, включая перехват SMS-сообщений и контактов, а также возможность записи звонков.
Иран уже многие годы активно использует мобильное шпионское ПО для внутреннего наблюдения, собирая данные об иранских диссидентах, активистах и тех, кого режим считает угрозой для своей стабильности. Эти приложения часто маскируются под специальные программы, такие как VPN или же, просто клоны Telegram. Они включают стандартные функции шпионского ПО для мониторинга устройств пользователя. Иранские группировки обычно распространяют такие приложения вне официальных интернет-магазинов, используя для этого такие способы как SMS-фишинг и методы индивидуальной психологии в социальных сетях и чат-приложениях.
Также недавно Иран стал нацеливать свои атаки на мобильные устройства в Израиле, вероятно, с целью сбора разведывательной информации. В сентябре 2023 года было обнаружено мобильное шпионское ПО для Android, связанное с группой, поддерживаемой Ираном, MYSTICDOME (также известной как NC1530). Была обнаружена и остановлена работа трех новых образцов MYTHDROID, также публично известных как AhMyth. MYTHDROID – это бэкдор для системы Android, представляющий собой приложение с базовым функционалом, которое широко использовалось различными группами APT-хакеров с момента его первоначального выпуска в 2017 году на площадке Github, в качестве проекта с открытым исходным кодом. Для распространения MYTHDROID и MYSTICDOME создавали сайты с израильской тематикой и доменами, где размещали вредоносный APK. Предполагается, что методы индивидуальной психологии также использовались для убеждения пользователей скачать приложения.
В октябре 2023 года, вскоре после нападения ХАМАСа 7 октября, было обнаружено вредоносное программное обеспечение, предназначенное для мобильной операционной системы Android. Эти вирусы попытались скопировать функционал израильского приложения Red Alert, которое используется для предупреждения граждан Израиля о приближающихся ракетных атаках. Зафиксировано минимум два случая, когда эти вредоносные приложения маскировались за официальное приложение. Это приложение широко известно своей функцией предупреждения пользователей Израиля о потенциальной опасности ракетных ударов.
В течение нескольких дней с начала конфликта появился поддельный клон приложения Red Alert. Этот вирус, маскирующийся под приложения подобного вида, содержал в себе троянский бэкдор, предназначенный для извлечения контактов, данных о сообщениях и определения местоположения. Целью угрозы стали израильские пользователи, а распространение троянского приложения Red Alert осуществлялось через фишинговые SMS-сообщения. Сообщения, приходившие от неизвестного отправителя, выдававшего себя за полицейского, содержали ссылки на скачку приложения, замаскированного под официальное приложение предупреждений о ракетной тревоге. Кроме того, вредоносное ПО распространялось через репозиторий GitHub.
Для защиты устройств на системе Android был внедрен механизм обнаружения, а зловредные домены, связанные с приложением, были добавлены в Safe Browsing с целью предотвратить дальнейшую эксплуатацию. Силами всех партнеров была ликвидирована исходная онлайн-инфраструктура хакеров.
В последнюю неделю октября 2023 года был выявлен новый бэкдор Android, притворяющийся израильским приложением Red Alert. Вредоносное программное обеспечение, известное как AHMYTHRAT, представляет собой модификацию общедоступного бэкдора Android под названием AhMyth, предназначенную для удаленного управления зараженным устройством. AHMYTHRAT обладает разнообразным функционалом, включая определение местоположения устройства, запись аудио с микрофона, извлечение контактов, доступ к данным звонков и SMS, а также возможность загрузки и выгрузки файлов. Примечательно, что образец AHMYTHRAT, облеченный в оболочку приложения Red Alert, был настроен на подключение к онлайн- инфраструктуре, которая находится под контролем хакеров.