Un actor malicioso que puede estar alineado con los rebeldes hutíes en Yemen ha estado espiando objetivos militares en todo Medio Oriente durante cinco años.
Su arma de guerra: un software de vigilancia personalizado para Android llamado “GuardZoo”. GuardZoo parece haber sido utilizado para robar inteligencia potencialmente valiosa sobre los enemigos militares del actor, incluidos documentos oficiales, fotografías y datos relacionados con la ubicación y los movimientos de las tropas.
La campaña GuardZoo
Los ataques de GuardZoo comienzan con Enlaces maliciosos difundidos en WhatsApp y WhatsApp Empresarial.
Los enlaces conducen a aplicaciones falsas alojadas fuera de Google Play Store. Algunos se refieren a temas genéricos, como “El Sagrado Corán” y “Encuentra tu teléfono”, pero la mayoría están orientados al ámbito militar, como “El arte de la guerra”, “La Constitución de las Fuerzas Armadas” y aquellos relacionados con temas específicos. organizaciones como las Fuerzas Armadas de Yemen y la Escuela de Comando y Estado Mayor de las Fuerzas Armadas de Arabia Saudita.
Todas estas diferentes aplicaciones distribuyen el malware GuardZoo.
aplicaciones falsas GuardZoo; Fuente: Mirador
GuardZoo es esencialmente el “Dendroid RATA” con parte de la grasa eliminada y reutilizada con docenas de comandos que satisfacen las necesidades de espionaje de su propietario. Esto puede explicar en parte por qué la campaña, que data de octubre de 2019, recién ahora se revela. “Si alguien usa las mismas herramientas que muchos otros actores, para que pueda robar [under the radar] “Simplemente porque no destacan”, dice Christoph Hebeisen, director de investigación de seguridad de Lookout.
En caso de infección, las primeras acciones de GuardZoo son siempre desactivar el registro local y extraer todos los archivos de la víctima dentro de los últimos siete años que coincidan con las extensiones de archivo KMZ, WPT (waypoint), RTE (ruta) y TRK (track). En particular, todas estas extensiones están relacionadas con Aplicaciones GPS y cartografía.
El malware también puede facilitar la descarga de otro malware, leer información sobre la máquina de la víctima (como su modelo, proveedor de servicio celular y velocidad de conexión) y mucho más.
Objetivos militares en Medio Oriente
Para Hebeisen, “una cosa que nos indica claramente que se trata de ataques militares [is] Extensiones de archivos codificadas que están muy relacionadas con el mapeo. Este objetivo, en mi opinión, indica (dado que están involucrados en un conflicto militar) que probablemente estén buscando información táctica del enemigo.
La mayoría de las 450 direcciones IP afectadas observadas por Lookout se concentraban en Yemen, aunque también abarcan Arabia Saudita, Egipto, Emiratos Árabes Unidos, Turquía, Qatar y Omán.
La conexión con los hutíes se ve reforzada por la ubicación del servidor de comando y control (C2) del malware. “Utiliza direcciones IP dinámicas, pero con un operador de telecomunicaciones que opera en una zona controlada por los hutíes. Es un servidor físico (obtuvimos el número de serie y pudimos rastrearlo) y es poco probable que quieras colocar un servidor físico en territorio enemigo”, dice Hebeisen.
Cuando se trata de la importancia de sus objetivos, en realidad es bastante sencillo defenderse de esta campaña. comunicado de prensaLookout destacó la necesidad de que los usuarios de Android eviten las aplicaciones alojadas fuera de Google Play, mantengan siempre sus aplicaciones actualizadas y tengan cuidado con los permisos excesivos.