El personal militar de los países del Medio Oriente es el objetivo de una operación de software de vigilancia en curso que distribuye una herramienta de recopilación de datos de Android llamada GuardZoo.
El campañaSe cree que el ataque, que comenzó en octubre de 2019, se atribuyó a un actor de amenazas alineado con los hutíes basándose en los señuelos de la aplicación, los registros del servidor de comando y control (C2), la huella del objetivo y la ubicación de la infraestructura de ataque, según Lookout.
Más de 450 víctimas se han visto afectadas por esta actividad maliciosa, con objetivos ubicados en Egipto, Omán, Qatar, Arabia Saudita, Turquía, Emiratos Árabes Unidos y Yemen. Los datos de telemetría indican que la mayoría de las infecciones se han registrado en Yemen.
GuardZoo es una versión modificada de un troyano de acceso remoto (RAT) de Android llamado Dendroid RAT que fue Descubierto por primera vez por Symantec, propiedad de Broadcom, en marzo de 2014. El código fuente completo asociado con la solución de software contra el crimen fue filtrado Más tarde ese mismo agosto.
Originalmente comercializado como un malware de consumo por un precio único de 300 dólares, viene con capacidades para llamar a un número de teléfono, eliminar registros de llamadas, abrir páginas web, grabar audio y llamadas, acceder a mensajes SMS, tomar y cargar fotos y videos, e incluso iniciar una Ataque de inundación HTTP.
«Sin embargo, se realizaron muchos cambios en la base del código para agregar nuevas funcionalidades y eliminar funciones no utilizadas», dijeron los investigadores de Lookout Alemdar Islamoglu y Kyle Schmittle en un informe compartido con The Hacker News. «GuardZoo no utiliza el panel web PHP filtrado de Dendroid RAT para Command and Control (C2), sino que utiliza un nuevo backend C2 creado con ASP.NET».
Las cadenas de ataque que distribuyen GuardZoo utilizan WhatsApp y WhatsApp Business como vectores de distribución, y las infecciones iniciales también se producen a través de descargas directas del navegador. Las aplicaciones de Android con trampas tienen temas militares y religiosos para incitar a los usuarios a descargarlas.
«Hemos observado que GuardZoo se distribuye de dos formas diferentes», dijo Islamoglu a The Hacker News. «En primer lugar, el actor de la amenaza envía directamente el archivo APK al objetivo a través de aplicaciones de chat privadas (Whatsapp, WhatsApp Business) utilizando la capacidad de envío de archivos de las aplicaciones de chat».
«En el segundo caso, el actor de la amenaza carga el archivo a un servidor con acceso a Internet y luego comparte el enlace con el objetivo con la esperanza de que este descargue e instale el archivo APK».
La versión actualizada del malware admite más de 60 comandos que le permiten obtener cargas útiles adicionales, descargar archivos y APK, cargar archivos (PDF, DOC, DOCX, XLX, XLSX y PPT) e imágenes, cambiar la dirección C2 y finalizar, actualizar o eliminarse del dispositivo comprometido.
El malware de Android también posee la funcionalidad de cargar todos los archivos con extensiones KMZ, WPT, RTE y TRKcada uno de los cuales corresponde a mapas y datos de CompeGPS que muestran waypoints, rutas y tracks.
«GuardZoo ha estado utilizando los mismos dominios DNS dinámicos para operaciones C2 desde octubre de 2019», dijeron los investigadores. «Estos dominios se resuelven en direcciones IP registradas en YemenNet y cambian periódicamente».
El Hutíes – un grupo militante que Controla Saná y el noroeste de Yemen. – han incorporado capacidades cibernéticas a su arsenal en los últimos años. En mayo de 2023, Recorded Future reveló una campaña de espionaje móvil llevada a cabo por un grupo de piratas informáticos vinculado al movimiento que utilizó WhatsApp para implementar un malware para Android conocido como SpyNote (también conocido como SpyMax).
«El diseño de GuardZoo está enfocado específicamente en el robo de fotos, documentos y archivos de mapas de los dispositivos de las víctimas, y se ha utilizado para robar con éxito documentos militares confidenciales en el pasado», dijo Islamoglu.
«Los archivos de mapeo en particular no se recopilan comúnmente en programas espía similares utilizados por otros actores de amenazas, e indica que los actores de amenazas pueden estar interesados en rastrear los movimientos de tropas militares que probablemente se registran en aplicaciones de navegación. Esto sugiere que GuardZoo se está utilizando para recopilar inteligencia militar tanto táctica como estratégica que puede utilizarse para beneficiar otras operaciones que están llevando a cabo los hutíes».
(La historia se actualizó después de su publicación para incluir comentarios adicionales de Lookout).