Orta Doğu ülkelerindeki askeri personel, Android veri toplama aracı sağlayan devam eden bir gözetleme yazılımı operasyonunun hedefi haline geldi. Muhafız Hayvanat Bahçesi.
The kampanyaLookout’a göre, Ekim 2019 gibi erken bir tarihte başladığı düşünülen saldırı, uygulama tuzakları, komuta ve kontrol (C2) sunucusu günlükleri, hedefleme izi ve saldırı altyapısı konumuna dayanarak Husi bağlantılı bir tehdit aktörüne bağlandı.
Kötü amaçlı etkinlikten 450’den fazla kurban etkilendi ve hedefler Mısır, Umman, Katar, Suudi Arabistan, Türkiye, BAE ve Yemen’de bulunuyor. Telemetri verileri enfeksiyonların çoğunun Yemen’de kaydedildiğini gösteriyor.
GuardZoo, Dendroid RAT adlı bir Android uzaktan erişim trojanının (RAT) değiştirilmiş bir sürümüdür. ilk keşfedilen Broadcom’a ait Symantec tarafından Mart 2014’te. Suç yazılımı çözümüyle ilişkili tüm kaynak kodu sızdırılmış Ağustos ayının sonlarına doğru.
Başlangıçta 300 dolarlık tek seferlik bir fiyatla bir ticari kötü amaçlı yazılım olarak pazarlanan bu yazılım, bir telefon numarasını arama, arama kayıtlarını silme, web sayfalarını açma, ses ve aramaları kaydetme, SMS mesajlarına erişme, fotoğraf ve video çekme ve yükleme ve hatta bir saldırı başlatma yeteneklerine sahiptir. HTTP flood saldırısı.
“Ancak, yeni işlevler eklemek ve kullanılmayan işlevleri kaldırmak için kod tabanında birçok değişiklik yapıldı,” dedi Lookout araştırmacıları Alemdar Islamoglu ve Kyle Schmittle The Hacker News ile paylaşılan bir raporda. “GuardZoo, Dendroid RAT for Command and Control (C2)’den sızdırılan PHP web panelini kullanmıyor, bunun yerine ASP.NET ile oluşturulmuş yeni bir C2 arka ucu kullanıyor.”
GuardZoo’yu dağıtan saldırı zincirleri, dağıtım vektörleri olarak WhatsApp ve WhatsApp Business’ı kullanır ve ilk enfeksiyonlar doğrudan tarayıcı indirmeleri aracılığıyla gerçekleşir. Tuzaklanmış Android uygulamaları, kullanıcıları indirmeye teşvik etmek için askeri ve dini temalar taşır.
Islamoglu, The Hacker News’e “GuardZoo’nun iki farklı şekilde dağıtıldığını gözlemledik” dedi. “İlk olarak, tehdit aktörü APK dosyasını doğrudan özel sohbet uygulamaları (Whatsapp, Whatsapp Business) aracılığıyla sohbet uygulamalarının dosya gönderme yeteneğini kullanarak hedefe gönderiyor.”
“İkinci durumda, tehdit aktörü dosyayı internete erişilebilen bir sunucuya yükler ve ardından hedefin APK dosyasını indirip yüklemesini umarak bağlantıyı hedefle paylaşır.”
Kötü amaçlı yazılımın güncellenmiş sürümü, ek yükler getirmesine, dosya ve APK’ları indirmesine, dosya (PDF, DOC, DOCX, XLX, XLSX ve PPT) ve görüntüleri yüklemesine, C2 adresini değiştirmesine ve tehlikeye atılan cihazdan kendini sonlandırmasına, güncellemesine veya silmesine olanak tanıyan 60’tan fazla komutu destekliyor.
Android kötü amaçlı yazılımı ayrıca uzantıları olan tüm dosyaları yükleme işlevine de sahiptir KMZ, WPT, RTE ve TRKHer biri, rota noktalarını, rotaları ve izleri gösteren haritalama ve CompeGPS verilerine karşılık gelir.
Araştırmacılar, “GuardZoo, Ekim 2019’dan beri C2 operasyonları için aynı dinamik DNS alan adlarını kullanıyor” dedi. “Bu alan adları, YemenNet’e kayıtlı IP adreslerine çözümleniyor ve düzenli olarak değişiyor.”
The Husiler – militan bir grup Sana’yı ve Yemen’in kuzeybatısını kontrol ediyor – Son yıllarda cephaneliklerine siber yetenekleri dahil ettiler. Mayıs 2023’te Recorded Future, WhatsApp’ı kullanarak SpyNote (diğer adıyla SpyMax) olarak bilinen bir Android kötü amaçlı yazılımını dağıtan hareketle bağlantıları olan bir bilgisayar korsanlığı grubu tarafından yürütülen bir mobil casusluk kampanyasını ortaya çıkardı.
İslamoğlu, “GuardZoo’nun tasarımı özellikle kurbanların cihazlarından fotoğraf, belge ve harita dosyalarının çalınmasına odaklanıyor ve geçmişte hassas askeri belgeleri çalmak için başarıyla kullanıldı” dedi.
“Özellikle haritalama dosyaları, diğer tehdit aktörleri tarafından kullanılan benzer casus yazılımlarda genellikle toplanmaz ve bu, tehdit aktörlerinin navigasyon uygulamalarında kaydedilmesi muhtemel askeri birlik hareketlerini izlemekle ilgilenebileceklerini gösterir. Bu, GuardZoo’nun Husilerin yürüttüğü diğer operasyonlara fayda sağlamak için kullanılabilecek hem taktik hem de stratejik askeri istihbarat toplamak için kullanıldığını düşündürmektedir.”
Güncelleme
Google sözcüsü The Hacker News’e şu açıklamayı yaptı:Google Play Koruması “Google Play Hizmetleri’ni kullanan Android cihazlarda bu kötü amaçlı yazılımı içerdiği bilinen uygulamaları kullanıcıları uyarır, engeller ve otomatik olarak kaldırır; bu uygulamalar Play dışındaki kaynaklardan gelse bile.”
(Hikaye yayımlandıktan sonra Lookout ve Google’dan gelen ek yorumlar eklenerek güncellendi.)