Il personale militare di diversi paesi del Medio Oriente è stato preso di mira da un’operazione di cyber spionaggio in corso che utilizza uno strumento di raccolta dati Android chiamato GuardZoo.
Attacco mirato e vittime
La campagna, che si ritiene sia iniziata già nell’ottobre 2019, è stata attribuita a un gruppo filò-Houthi sulla base delle esche utilizzate per attirare le vittime, dei server di comando e controllo (C2) utilizzati, dell’analisi degli obiettivi e della posizione dell’infrastruttura utilizzata per gli attacchi, secondo quanto riportato da Lookout.
Oltre 450 persone sono state colpite da questa attività dannosa. Le vittime si trovano in Egitto, Oman, Qatar, Arabia Saudita, Turchia, Emirati Arabi Uniti e Yemen. I dati telemetrici indicano che la maggior parte delle infezioni sono state registrate in Yemen.
GuardZoo: un malware derivato
GuardZoo è una versione modificata di un Trojan RAT (Remote Access Trojan) per Android chiamato Dendroid RAT, scoperto per la prima volta da Symantec (ora Broadcom) nel marzo 2014. L’intero codice sorgente associato a questo malware è stato successivamente divulgato nell’agosto dello stesso anno.
Originariamente venduto come malware generico per un prezzo una tantum di $ 300, era in grado di effettuare chiamate, eliminare registri delle chiamate, aprire pagine web, registrare audio e conversazioni telefoniche, accedere a SMS, scattare e caricare foto e video, e persino lanciare attacchi di tipo DDoS (Distributed Denial-of-Service).
“Tuttavia, sono state apportate molte modifiche al codice sorgente per aggiungere nuove funzionalità e rimuovere quelle obsolete”, hanno affermato i ricercatori di Lookout Alemdar Islamoglu e Kyle Schmittle in un rapporto condiviso con The Hacker News. “GuardZoo non utilizza il pannello web PHP trafugato di Dendroid RAT per il comando e controllo (C2), ma utilizza invece un nuovo backend C2 creato con ASP.NET.”
Diffusione e funzionalità
Le catene di attacco che distribuiscono GuardZoo sfruttano WhatsApp e WhatsApp Business come vettori principali, con infezioni iniziali che avvengono anche tramite download diretti dal browser. Le app Android malevole utilizzano temi militari e religiosi per invogliare gli utenti a scaricarle.
“Abbiamo osservato la distribuzione di GuardZoo in due modi diversi”, ha affermato Islamoglu a The Hacker News. “In primo luogo, l’attore della minaccia invia direttamente il file APK al bersaglio tramite applicazioni di chat private (WhatsApp, WhatsApp Business) utilizzando la funzione di invio file delle applicazioni di chat.”
“Nel secondo caso, l’attore della minaccia carica il file su un server accessibile da internet e poi condivide il collegamento con la vittima sperando che la vittima scarichi e installi il file APK.”
La versione aggiornata del malware supporta oltre 60 comandi che gli consentono di recuperare payload aggiuntivi, scaricare file e APK, caricare file (PDF, DOC, DOCX, XLX, XLSX, PPT) e immagini, modificare l’indirizzo C2 e terminare, aggiornare o eliminare se stesso dal dispositivo compromesso.
Il malware Android ha anche la capacità di caricare tutti i file con estensioni KMZ, WPT, RTE e TRK, che corrispondono a dati di mappatura e CompeGPS che mostrano waypoint, percorsi e tracce.
“GuardZoo utilizza gli stessi domini DNS dinamici per le operazioni C2 dall’ottobre 2019”, hanno affermato i ricercatori. “Questi domini puntano a indirizzi IP registrati a YemenNet e cambiano regolarmente.”
Possibili colpevoli e obiettivi
Gli Houthi, un gruppo militante che controlla Sana’a e la parte nord-occidentale dello Yemen, negli ultimi anni hanno adottato capacità cibernetiche nel loro arsenale. Nel maggio 2023, Recorded Future ha rivelato una campagna di spionaggio mobile condotta da un gruppo di hacker legati al movimento che utilizzava WhatsApp per distribuire un malware Android noto come SpyNote (alias SpyMax).