Militares de países do Oriente Médio são alvos de uma operação de vigilância contínua que utiliza uma ferramenta de coleta de dados para Android chamada GuardZoo.
A campanha, que começou em outubro de 2019, é atribuída a um grupo hacker alinhado com o grupo Houthi. Esta conclusão é baseada nas iscas de aplicativos, registros de servidor de comando e controle (C2), padrões de alvos e localização da infraestrutura de ataque, conforme reportado pela Lookout.
Até agora, mais de 450 vítimas foram afetadas pela atividade maliciosa, com alvos localizados no Egito, Omã, Qatar, Arábia Saudita, Turquia, Emirados Árabes Unidos e Iêmen. Dados de telemetria mostram que a maioria das infecções ocorreu no Iêmen.
O GuardZoo é uma versão modificada de um trojan de acesso remoto (RAT) para Android chamado Dendroid RAT, descoberto pela Symantec em março de 2014. O código-fonte do Dendroid RAT foi vazado no final de agosto.
Originalmente comercializado por US$ 300, o Dendroid RAT possui recursos como ligar para números de telefone, excluir registros de chamadas, abrir páginas da web, gravar áudio e chamadas, acessar mensagens SMS, tirar e fazer upload de fotos e vídeos, e até iniciar ataques HTTP folood.
"Muitas mudanças foram feitas no código original para adicionar novas funcionalidades e remover funções não utilizadas", disseram os pesquisadores da Lookout, Alemdar Islamoglu e Kyle Schmittle em um relatório. "O GuardZoo não usa o painel web PHP vazado do Dendroid RAT para comando e controle (C2), mas sim um novo backend C2 criado com ASP.NET."
As cadeias de ataque que distribuem o GuardZoo utilizam o WhatsApp e o WhatsApp Business como vetores de distribuição. Infecções iniciais também ocorrem através de downloads diretos de navegadores. Os aplicativos Android utilizados como iscas apresentam temas militares e religiosos para enganar os usuários a baixá-los.
A versão atualizada do malware suporta mais de 60 comandos, permitindo buscar cargas adicionais, baixar arquivos e APKs, fazer upload de arquivos (PDF, DOC, DOCX, XLS, XLSX e PPT) e imagens, alterar o endereço C2 e encerrar, atualizar ou deletar-se do dispositivo comprometido.
"O GuardZoo tem utilizado os mesmos domínios DNS dinâmicos para operações C2 desde outubro de 2019", disseram os pesquisadores. "Esses domínios são resolvidos para endereços IP registrados na YemenNet e mudam regularmente."
Comments