Militares de países do Oriente Médio são alvo de uma operação de vigilância em andamento que fornece uma ferramenta de coleta de dados para Android chamada GuardaZoo.
A campanha, que se acredita ter começado em outubro de 2019, foi atribuída a um agente de ameaça alinhado aos Houthis com base nas iscas de aplicativos, registros de servidores de comando e controle (C2), pegada de segmentação e localização da infraestrutura de ataque, de acordo com a Lookout.
Mais de 450 vítimas foram impactadas pela atividade maliciosa, com alvos localizados no Egito, Omã, Catar, Arábia Saudita, Turquia, Emirados Árabes Unidos e Iêmen. Dados de telemetria indicam que a maioria das infecções foi registrada no Iêmen.
GuardZoo é uma versão modificada de um trojan de acesso remoto (RAT) do Android chamado Dendroid RAT, que foi descoberto pela Symantec, de propriedade da Broadcom, em março de 2014. Todo o código-fonte associado à solução de crimeware vazou no ultimate de agosto.
Originalmente comercializado como um malware comum pelo preço único de US$ 300, ele vem com recursos para ligar para um número de telefone, excluir registros de chamadas, abrir páginas da net, gravar áudio e chamadas, acessar mensagens SMS, tirar e enviar fotos e vídeos e até mesmo iniciar um ataque de inundação HTTP.
“No entanto, muitas mudanças foram feitas na base de código para adicionar novas funcionalidades e remover funções não utilizadas”, disseram os pesquisadores Alemdar Islamoglu e Kyle Schmittle da Lookout em um relatório compartilhado com o The Hacker Information. “O GuardZoo não usa o painel net PHP vazado do Dendroid RAT para Command and Management (C2), mas usa um novo backend C2 criado com ASP.NET.”
As cadeias de ataque que distribuem o GuardZoo alavancam o WhatsApp e o WhatsApp Enterprise como vetores de distribuição, com as infecções iniciais também ocorrendo por meio de downloads diretos do navegador. Os aplicativos Android com armadilhas carregam temas militares e religiosos para atrair os usuários a baixá-los.
“Observamos que o GuardZoo está sendo distribuído de duas maneiras diferentes”, Islamoglu disse ao The Hacker Information. “Primeiro, o agente da ameaça envia diretamente o arquivo APK para o alvo por meio de aplicativos de bate-papo privados (Whatsapp, Whatsapp Enterprise) usando a capacidade de envio de arquivos dos aplicativos de bate-papo.”
“No segundo caso, o agente da ameaça carrega o arquivo em um servidor acessível pela Web e então compartilha o hyperlink com o alvo, esperando que ele baixe e instale o arquivo APK.”
A versão atualizada do malware suporta mais de 60 comandos que lhe permitem buscar cargas adicionais, baixar arquivos e APKs, carregar arquivos (PDF, DOC, DOCX, XLX, XLSX e PPT) e imagens, alterar o endereço C2 e encerrar, atualizar ou excluir a si mesmo do dispositivo comprometido.
O malware para Android também possui funcionalidade para carregar todos os arquivos com extensões KMZ, WPT, RTE e TRK, cada um dos quais corresponde a dados de mapeamento e CompeGPS mostrando pontos de passagem, rotas e trilhas.
“O GuardZoo tem usado os mesmos domínios DNS dinâmicos para operações C2 desde outubro de 2019”, disseram os pesquisadores. “Esses domínios resolvem para endereços IP registrados no YemenNet e mudam regularmente.”
Os Houthis – um grupo militante que controla Sanaa e o noroeste do Iêmen – adotaram capacidades cibernéticas em seu arsenal nos últimos anos. Em maio de 2023, a Recorded Future revelou uma campanha de espionagem móvel realizada por um grupo de hackers com laços com o movimento que usou o WhatsApp para implantar um malware Android conhecido como SpyNote (também conhecido como SpyMax).
“O design do GuardZoo é focado especificamente no roubo de fotos, documentos e arquivos de mapeamento dos dispositivos das vítimas, e já foi usado com sucesso para roubar documentos militares confidenciais no passado”, disse Islamoglu.
“Os arquivos de mapeamento em specific não são comumente coletados em spy ware related usado por outros agentes de ameaças, e indicam que os agentes de ameaças podem estar interessados em rastrear movimentos de tropas militares que provavelmente estão sendo registrados em aplicativos de navegação. Isso sugere que o GuardZoo está sendo usado para coletar inteligência militar tática e estratégica que pode ser usada para beneficiar outras operações que os Houthis estão conduzindo.”
(A história foi atualizada após a publicação para incluir comentários adicionais do Lookout.)
