Um suposto grupo de ameaça pró-Houthi atacou pelo menos três organizações humanitárias no Iêmen com spy ware para Android projetado para coletar informações confidenciais.
Esses ataques, atribuídos a um grupo de atividades com o codinome ÓleoAlfaenvolvem um novo conjunto de aplicativos móveis maliciosos que vêm com sua própria infraestrutura de suporte, disse o Insikt Group da Recorded Future.
Os alvos da campanha em andamento incluem a CARE Worldwide, o Conselho Norueguês para Refugiados (NRC) e o Centro de Ajuda Humanitária e Socorro Rei Salman da Arábia Saudita.
“É muito provável que o grupo de ameaça OilAlpha esteja ativo e executando atividades direcionadas contra organizações humanitárias e de direitos humanos que operam no Iêmen e, potencialmente, em todo o Oriente Médio”, disse a empresa de segurança cibernética.
O OilAlpha foi documentado pela primeira vez em maio de 2023 em conexão com uma campanha de espionagem visando organizações de desenvolvimento, humanitárias, de mídia e não governamentais na Península Arábica.
Esses ataques usaram o WhatsApp para distribuir arquivos APK maliciosos para Android, fazendo-os passar por associados a organizações legítimas como a UNICEF, o que levou à implantação de uma cepa de malware chamada SpyNote (também conhecida como SpyMax).
A última onda, identificada no início de junho de 2024, compreende aplicativos que afirmam estar relacionados a programas de ajuda humanitária e se disfarçam como entidades como a CARE Worldwide e a NRC, ambas com presença ativa no Iêmen.
Uma vez instalados, esses aplicativos – que abrigam o trojan SpyMax – solicitam permissões intrusivas, facilitando assim o roubo de dados da vítima.
As operações da OilAlpha também incluem um componente de coleta de credenciais que utiliza um monte de páginas de login falsas que se passam por essas organizações em um esforço para coletar informações de login dos usuários. Suspeita-se que o objetivo seja realizar esforços de espionagem acessando contas associadas às organizações afetadas.
“Os militantes houthis têm continuamente buscado restringir a movimentação e a entrega de assistência humanitária internacional e lucrado com impostos e revenda de materiais de ajuda”, disse a Recorded Future.
“Uma possível explicação para a segmentação cibernética observada é que se trata de uma coleta de informações para facilitar os esforços para controlar quem recebe ajuda e como ela é entregue.”
O desenvolvimento ocorre semanas após a Lookout implicar um agente de ameaça alinhado aos Houthis em outra operação de software program de vigilância que fornece uma ferramenta de coleta de dados do Android chamada GuardZoo para alvos no Iêmen e outros países do Oriente Médio.
