Στρατιωτικό προσωπικό από χώρες της Μέσης Ανατολής αποτελεί τον στόχο μιας συνεχιζόμενης επιχείρησης λογισμικού επιτήρησης, η οποία παρέχει ένα data-gathering εργαλείο για Android, γνωστό ως GuardZoo.

Σύμφωνα με το Lookout, η εκστρατεία που ξεκίνησε τον Οκτώβριο του 2019 αποδίδεται σε hackers που συνδέονται με τους Χούτι, με βάση τα στοιχεία των εφαρμογών, τα αρχεία server και την υποδομή επίθεσης.

Διαβάστε σχετικά: Ανακαλύφθηκαν trojanized εκδόσεις του jQuery

Περισσότερα από 450 θύματα έχουν επηρεαστεί από την κακόβουλη δραστηριότητα, με στόχους στην Αίγυπτο, το Ομάν, το Κατάρ, τη Σαουδική Αραβία, την Τουρκία, τα ΗΑΕ και την Υεμένη. Τα δεδομένα τηλεμετρίας δείχνουν ότι οι περισσότερες μολύνσεις έχουν καταγραφεί στην Υεμένη.

Το GuardZoo είναι μια τροποποιημένη έκδοση ενός trojan απομακρυσμένης πρόσβασης για Android (RAT), γνωστό ως Dendroid RAT, το οποίο εντοπίστηκε αρχικά από τη Symantec, θυγατρική της Broadcom, τον Μάρτιο του 2014. Ο πλήρης πηγαίος κώδικας του κακόβουλου λογισμικού διέρρευσε αργότερα τον Αύγουστο του ίδιου έτους.

Αρχικά διατέθηκε ως εμπορικό κακόβουλο λογισμικό με εφάπαξ τιμή 300 $, προσφέροντας δυνατότητες όπως κλήσεις τηλεφώνων, διαγραφή αρχείων καταγραφής κλήσεων, άνοιγμα ιστοσελίδων, εγγραφή ήχου και κλήσεων, πρόσβαση σε SMS, λήψη και αποστολή φωτογραφιών και βίντεο, καθώς και εκκίνηση επιθέσεων πλημμύρας HTTP.

“Πολλές αλλαγές πραγματοποιήθηκαν στη βάση κώδικα για την προσθήκη νέων λειτουργιών και την αφαίρεση αχρησιμοποίητων δυνατοτήτων,” ανέφεραν οι ερευνητές της Lookout, Alemdar Islamoglu και Kyle Schmitle, σε μια αναφορά που δημοσιεύθηκε στο The Hacker News. “Το GuardZoo δεν χρησιμοποιεί τον πίνακα ιστού PHP που διέρρευσε από το Dendroid RAT για τον έλεγχο και τη διοίκηση (C2), αλλά υιοθετεί ένα νέο backend C2 κατασκευασμένο με ASP.NET.”

Οι αλυσίδες επιθέσεων που διανέμουν το GuardZoo εκμεταλλεύονται το WhatsApp και το WhatsApp Business ως κύριους φορείς διανομής. Οι αρχικές μολύνσεις συμβαίνουν επίσης μέσω απευθείας λήψεων από προγράμματα περιήγησης. Οι παγιδευμένες εφαρμογές Android έχουν στρατιωτικά και θρησκευτικά θέματα, προσελκύοντας έτσι τους χρήστες να τις κατεβάσουν.

Δείτε περισσότερα: Το Mekotio banking trojan στοχεύει χρήστες στη Λατινική Αμερική

Η ενημερωμένη έκδοση του κακόβουλου λογισμικού υποστηρίζει πάνω από 60 εντολές, επιτρέποντάς του να κατεβάζει πρόσθετα ωφέλιμα φορτία, αρχεία και APK, να ανεβάζει αρχεία (PDF, DOC, DOCX, XLX, XLSX και PPT) και εικόνες, να αλλάζει τη διεύθυνση C2, καθώς και να τερματίζεται, να ενημερώνεται ή να διαγράφεται από τη συσκευή που έχει παραβιαστεί.

«Από τον Οκτώβριο του 2019, το GuardZoo χρησιμοποιεί τους ίδιους τομείς DNS για λειτουργίες C2», ανέφεραν οι ερευνητές. «Αυτοί οι τομείς επιλύονται σε διευθύνσεις IP καταχωρημένες στο YemenNet και αλλάζουν τακτικά.»

Πηγή: thehackernews