Militares de países do Oriente Médio são o alvo de uma operação contínua de vigilância que utiliza uma ferramenta de coleta de dados para Android chamada GuardZoo.
A campanha, que se acredita ter começado tão cedo quanto outubro de 2019, foi atribuída a um ator de ameaça alinhado com os Houthis, com base nos atrativos da aplicação, registros do servidor de comando e controle (C2), alvos específicos e na localização da infraestrutura de ataque, de acordo com a Lookout.
Mais de 450 vítimas foram impactadas pela atividade maliciosa, com alvos localizados no Egito, Omã, Catar, Arábia Saudita, Turquia, Emirados Árabes Unidos e Iêmen.
Os dados de telemetria indicam que a maioria das infecções foi registrada no Iêmen.
GuardZoo é uma versão modificada de um Android remote access trojan (RAT) chamado Dendroid RAT, que foi descoberto pela primeira vez pela Symantec, de propriedade da Broadcom, em março de 2014.
Todo o código-fonte associado à solução de crimeware foi vazado posteriormente naquele agosto.
Originalmente comercializado como um malware de commodity por um preço único de $300, ele vem com capacidades para ligar para um número de telefone, deletar registros de chamadas, abrir páginas da web, gravar áudio e chamadas, acessar mensagens SMS, tirar fotos e vídeos e até iniciar um ataque de HTTP flood.
"No entanto, muitas alterações foram feitas na base de código para adicionar novas funcionalidades e remover funções não utilizadas", disseram os pesquisadores da Lookout, Alemdar Islamoglu e Kyle Schmittle, em um relatório compartilhado.
GuardZoo não usa o painel web PHP vazado do Dendroid RAT para Command and Control (C2), mas sim um novo backend C2 criado com ASP.NET.
As cadeias de ataque que distribuem o GuardZoo aproveitam o WhatsApp e o WhatsApp Business como vetores de distribuição, com as infecções iniciais ocorrendo também por meio de downloads diretos pelo navegador.
Os aplicativos Android armadilhados apresentam temas militares e religiosos para atrair os usuários a baixá-los.
A versão atualizada do malware suporta mais de 60 comandos que permitem que ele busque payloads adicionais, baixe arquivos e APKs, faça upload de arquivos (PDF, DOC, DOCX, XLX, XLSX e PPT) e imagens, mude o endereço de C2 e termine, atualize ou delete-se do dispositivo comprometido.
"GuardZoo tem usado os mesmos domínios DNS dinâmicos para operações de C2 desde outubro de 2019", disseram os pesquisadores.
Esses domínios resolvem para endereços IP registrados no YemenNet e eles mudam regularmente.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...