Uma suspeita de grupo ameaçador pró-Houthi mirou pelo menos três organizações humanitárias no Iêmen com spyware para Android desenhado para coletar informações sensíveis.
Esses ataques, atribuídos a um cluster de atividades codinome OilAlpha, envolvem um novo conjunto de aplicativos móveis maliciosos que vêm com sua própria infraestrutura de suporte, disse o grupo Insikt da Recorded Future.
Os alvos da campanha em andamento incluem a CARE International, o Conselho Norueguês para Refugiados (NRC) e o Centro de Ajuda e Socorro Humanitário Rei Salman da Arábia Saudita.
"É altamente provável que o grupo de ameaça OilAlpha esteja ativo e executando atividades direcionadas contra organizações humanitárias e de direitos humanos que operam no Iêmen, e possivelmente por todo o Oriente Médio", disse a empresa de cibersegurança.
OilAlpha foi documentado pela primeira vez em maio de 2023 em conexão com uma campanha de espionagem visando organizações de desenvolvimento, humanitárias, de mídia e não governamentais na península Arábica.
Esses ataques aproveitaram o WhatsApp para distribuir arquivos APK Android maliciosos fingindo estarem associados a organizações legítimas como a UNICEF, levando finalmente à implantação de uma cepa de malware chamada SpyNote (também conhecida como SpyMax).
A última onda, identificada no início de junho de 2024, compreende apps que afirmam estar relacionados a programas de ajuda humanitária e se disfarçam como entidades como a CARE International e o NRC, ambas com presença ativa no Iêmen.
Uma vez instalados, esses apps – que abrigam o trojan SpyMax – solicitam permissões intrusivas, facilitando assim o roubo dos dados das vítimas.
As operações do OilAlpha também incluem um componente de coleta de credenciais que utiliza várias páginas de login falsas, imitando essas organizações, numa tentativa de coletar as informações de login dos usuários.
Suspeita-se que o objetivo seja realizar esforços de espionagem ao acessar contas associadas às organizações afetadas.
"Militantes Houthi continuamente buscaram restringir o movimento e a entrega de assistência humanitária internacional e lucraram com a taxação e revenda de materiais de ajuda", disse a Recorded Future.
Uma possível explicação para o direcionamento cibernético observado é que seja coleta de inteligência para facilitar esforços de controlar quem recebe ajuda e como ela é entregue.
O desenvolvimento chega semanas depois de a Lookout implicar um ator de ameaça alinhado aos Houthi em outra operação de surveillanceware que entrega uma ferramenta de coleta de dados para Android chamada GuardZoo a alvos no Iêmen e em outros países do Oriente Médio.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...