O grupo de ciberespionagem Arid Viper, também conhecido como TAG-63, foi identificado como o responsável por uma campanha de spyware em dispositivos Android voltada para usuários árabe.

O spyware é distribuído por meio de um aplicativo falso de namoro projetado para coletar dados dos dispositivos infectados.

A campanha é ativa desde pelo menos abril de 2022 e não há evidências que a conectem ao conflito em curso entre Israel e o Hamas.

O malware móvel compartilha semelhanças de código-fonte com um aplicativo de namoro legítimo chamado Skipped, sugerindo que os operadores podem estar ligados ao desenvolvedor deste último ou copiaram suas funcionalidades.

O Cisco Talos identificou uma rede extensa de empresas que criam aplicativos de namoro semelhantes ou idênticos ao Skipped, disponíveis nas lojas oficiais de aplicativos para Android e iOS.

Os atacantes enviam aos alvos um link para um vídeo tutorial do suposto aplicativo de namoro, que redireciona para um domínio controlado pelo atacante e serve o malware em formato APK.

Uma vez instalado, o malware se esconde no dispositivo da vítima, desativando notificações do sistema e solicitando permissões intrusivas.