Le personnel militaire des pays du Moyen-Orient est la cible d’une opération de surveillance en cours qui fournit un outil de collecte de données Android appelé GardeZoo.
Le campagnequi aurait commencé dès octobre 2019, a été attribuée à un acteur de menace aligné sur les Houthis sur la base des leurres d’application, des journaux du serveur de commandement et de contrôle (C2), de l’empreinte de ciblage et de l’emplacement de l’infrastructure d’attaque, selon Lookout.
Plus de 450 victimes ont été touchées par cette activité malveillante, avec des cibles situées en Égypte, à Oman, au Qatar, en Arabie saoudite, en Turquie, aux Émirats arabes unis et au Yémen. Les données de télémétrie indiquent que la plupart des infections ont été enregistrées au Yémen.
GuardZoo est une version modifiée d’un cheval de Troie d’accès à distance Android (RAT) nommé Dendroid RAT qui a été découvert pour la première fois par Symantec, propriété de Broadcom, en mars 2014. L’intégralité du code source associé à la solution de crimeware a été fuite plus tard en août.
Commercialisé à l’origine comme un logiciel malveillant de base au prix unique de 300 $, il est doté de fonctionnalités permettant d’appeler un numéro de téléphone, de supprimer les journaux d’appels, d’ouvrir des pages Web, d’enregistrer de l’audio et des appels, d’accéder à des messages SMS, de prendre et de télécharger des photos et des vidéos, et même de lancer une Attaque par inondation HTTP.
« Cependant, de nombreuses modifications ont été apportées à la base de code afin d’ajouter de nouvelles fonctionnalités et de supprimer des fonctions inutilisées », ont déclaré les chercheurs de Lookout Alemdar Islamoglu et Kyle Schmittle dans un rapport partagé avec The Hacker News. « GuardZoo n’utilise pas le panneau Web PHP divulgué de Dendroid RAT pour Command and Control (C2) mais utilise à la place un nouveau backend C2 créé avec ASP.NET. »
Les chaînes d’attaque distribuant GuardZoo utilisent WhatsApp et WhatsApp Business comme vecteurs de distribution, les infections initiales ayant également lieu via des téléchargements directs depuis un navigateur. Les applications Android piégées portent des thèmes militaires et religieux pour inciter les utilisateurs à les télécharger.
« Nous avons observé que GuardZoo était distribué de deux manières différentes », a déclaré Islamoglu à The Hacker News. « Tout d’abord, l’acteur malveillant envoie directement le fichier APK à la cible via des applications de chat privées (Whatsapp, Whatsapp Business) en utilisant la capacité d’envoi de fichiers des applications de chat. »
« Dans le deuxième cas, l’acteur malveillant télécharge le fichier sur un serveur accessible sur Internet, puis partage le lien avec la cible en espérant que celle-ci téléchargera et installera le fichier APK. »
La version mise à jour du malware prend en charge plus de 60 commandes qui lui permettent de récupérer des charges utiles supplémentaires, de télécharger des fichiers et des APK, de charger des fichiers (PDF, DOC, DOCX, XLX, XLSX et PPT) et des images, de modifier l’adresse C2 et de se terminer, de se mettre à jour ou de se supprimer de l’appareil compromis.
Le malware Android possède également une fonctionnalité permettant de télécharger tous les fichiers avec des extensions KMZ, WPT, RTE et TRKchacun d’entre eux correspondant à la cartographie et aux données CompeGPS indiquant les points de cheminement, les itinéraires et les pistes.
« GuardZoo utilise les mêmes domaines DNS dynamiques pour les opérations C2 depuis octobre 2019 », ont déclaré les chercheurs. « Ces domaines correspondent aux adresses IP enregistrées sur YémenNet et ils changent régulièrement. »
Le Les Houthis – un groupe militant qui contrôle Sanaa et le nord-ouest du Yémen – ont intégré ces dernières années des capacités cybernétiques à leur arsenal. En mai 2023, Recorded Future a révélé une campagne d’espionnage mobile menée par un groupe de hackers lié au mouvement qui a utilisé WhatsApp pour déployer un malware Android connu sous le nom de SpyNote (alias SpyMax).
« La conception de GuardZoo est spécifiquement axée sur le vol de photos, de documents et de fichiers cartographiques à partir des appareils des victimes, et elle a été utilisée pour voler avec succès des documents militaires sensibles dans le passé », a déclaré Islamoglu.
« Les fichiers de cartographie en particulier ne sont pas couramment collectés dans des logiciels espions similaires utilisés par d’autres acteurs malveillants, et indiquent que ces derniers pourraient être intéressés par le suivi des mouvements de troupes militaires qui sont probablement enregistrés dans des applications de navigation. Cela suggère que GuardZoo est utilisé pour collecter des renseignements militaires tactiques et stratégiques qui peuvent être utilisés au profit d’autres opérations menées par les Houthis. »
(L’histoire a été mise à jour après publication pour inclure des commentaires supplémentaires de Lookout.)