Una campaña de vigilancia dirigida al personal militar en Medio Oriente está utilizando una herramienta de recolección de datos para Android llamada GuardZoo. Se cree que la campaña, que comenzó en octubre de 2019, ha sido realizada por un grupo vinculado a los Huthis debido a varios factores, incluyendo aplicaciones de señuelo, registros del servidor C2, alcance del objetivo y ubicación de la infraestructura de ataque, según Lookout.
Más de 450 víctimas, principalmente en Yemen, han sido impactadas por esta actividad maliciosa. Otros países afectados incluyen Egipto, Omán, Qatar, Arabia Saudita, Turquía y los Emiratos Árabes Unidos.
GuardZoo, una versión modificada de Dendroid RAT, originalmente vendido en el mercado negro por $300, es capaz de realizar una amplia gama de actividades maliciosas en dispositivos Android. Los investigadores de Lookout, Alemdar Islamoglu y Kyle Schmittle, han revelado que GuardZoo ha sufrido modificaciones significativas en su código base, incluyendo la incorporación de nuevas funciones y la eliminación de las no utilizadas.
La herramienta de ataque se disemina a través de WhatsApp y WhatsApp Business, así como descargas directas desde el navegador. Las aplicaciones de Android utilizadas como señuelo suelen presentar temas militares o religiosos para atraer a los usuarios.
La versión actualizada de GuardZoo es capaz de ejecutar más de 60 comandos. Esto le permite obtener cargas útiles adicionales, descargar archivos y APK, cargar archivos e imágenes, cambiar la dirección de C2, y terminar, actualizar o eliminarse a sí mismo del dispositivo comprometido. Los investigadores también han observado que GuardZoo ha estado utilizando los mismos dominios de DNS dinámicos para operaciones C2 desde octubre de 2019, con direcciones IP registradas en YemenNet y cambios regulares en su resolución de nombres.
Vía The Hacker News
