Malware GuardZoo mira Oriente Médio
9 de Julho de 2024

Militares de países do Oriente Médio são o alvo de uma operação contínua de vigilância que utiliza uma ferramenta de coleta de dados para Android chamada GuardZoo.

A campanha, que se acredita ter começado tão cedo quanto outubro de 2019, foi atribuída a um ator de ameaça alinhado com os Houthis, com base nos atrativos da aplicação, registros do servidor de comando e controle (C2), alvos específicos e na localização da infraestrutura de ataque, de acordo com a Lookout.

Mais de 450 vítimas foram impactadas pela atividade maliciosa, com alvos localizados no Egito, Omã, Catar, Arábia Saudita, Turquia, Emirados Árabes Unidos e Iêmen.

Os dados de telemetria indicam que a maioria das infecções foi registrada no Iêmen.

GuardZoo é uma versão modificada de um Android remote access trojan (RAT) chamado Dendroid RAT, que foi descoberto pela primeira vez pela Symantec, de propriedade da Broadcom, em março de 2014.

Todo o código-fonte associado à solução de crimeware foi vazado posteriormente naquele agosto.

Originalmente comercializado como um malware de commodity por um preço único de $300, ele vem com capacidades para ligar para um número de telefone, deletar registros de chamadas, abrir páginas da web, gravar áudio e chamadas, acessar mensagens SMS, tirar fotos e vídeos e até iniciar um ataque de HTTP flood.

"No entanto, muitas alterações foram feitas na base de código para adicionar novas funcionalidades e remover funções não utilizadas", disseram os pesquisadores da Lookout, Alemdar Islamoglu e Kyle Schmittle, em um relatório compartilhado.

GuardZoo não usa o painel web PHP vazado do Dendroid RAT para Command and Control (C2), mas sim um novo backend C2 criado com ASP.NET.

As cadeias de ataque que distribuem o GuardZoo aproveitam o WhatsApp e o WhatsApp Business como vetores de distribuição, com as infecções iniciais ocorrendo também por meio de downloads diretos pelo navegador.

Os aplicativos Android armadilhados apresentam temas militares e religiosos para atrair os usuários a baixá-los.

A versão atualizada do malware suporta mais de 60 comandos que permitem que ele busque payloads adicionais, baixe arquivos e APKs, faça upload de arquivos (PDF, DOC, DOCX, XLX, XLSX e PPT) e imagens, mude o endereço de C2 e termine, atualize ou delete-se do dispositivo comprometido.

"GuardZoo tem usado os mesmos domínios DNS dinâmicos para operações de C2 desde outubro de 2019", disseram os pesquisadores.

Esses domínios resolvem para endereços IP registrados no YemenNet e eles mudam regularmente.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...