09 de julio de 2024Sala de prensa El personal militar de los países de Oriente Medio es el objetivo de una operación de software de vigilancia en curso que ofrece una herramienta de recopilación de datos de Android llamada GuardZoo. La campaña, que se cree que comenzó en octubre de 2019, se ha atribuido a un actor de amenazas alineado con los hutíes basándose en los señuelos de la aplicación, los registros del servidor de comando y control (C2), la huella de los objetivos y la ubicación de la infraestructura de ataque, según Lookout. Más de 450 víctimas se han visto afectadas por la actividad maliciosa, con objetivos ubicados en Egipto, Omán, Qatar, Arabia Saudita, Turquía, los Emiratos Árabes Unidos y Yemen. Los datos de telemetría indican que la mayoría de las infecciones se han registrado en Yemen. GuardZoo es una versión modificada de un troyano de acceso remoto (RAT) de Android llamado Dendroid RAT que fue descubierto por primera vez por Symantec, propiedad de Broadcom, en marzo de 2014. El código fuente completo asociado con la solución de software contra el crimen se filtró más tarde ese agosto. Originalmente comercializado como un malware de consumo por un precio único de 300 dólares, viene con capacidades para llamar a un número de teléfono, borrar registros de llamadas, abrir páginas web, grabar audio y llamadas, acceder a mensajes SMS, tomar y cargar fotos y vídeos, e incluso iniciar un ataque de inundación HTTP. «Sin embargo, se realizaron muchos cambios en la base del código para añadir nuevas funcionalidades y eliminar funciones no utilizadas», dijeron los investigadores de Lookout Alemdar Islamoglu y Kyle Schmittle en un informe compartido con The Hacker News. «GuardZoo no utiliza el panel web PHP filtrado de Dendroid RAT para Command and Control (C2), sino que utiliza un nuevo backend C2 creado con ASP.NET». Las cadenas de ataque que distribuyen GuardZoo aprovechan WhatsApp y WhatsApp Business como vectores de distribución, y las infecciones iniciales también se producen a través de descargas directas del navegador. Las aplicaciones de Android con trampas explosivas tienen temas militares y religiosos para incitar a los usuarios a descargarlas. «Observamos que GuardZoo se distribuía de dos formas diferentes», dijo Islamoglu a The Hacker News. «En primer lugar, el actor de amenazas envía directamente el archivo APK al objetivo a través de aplicaciones de chat privadas (Whatsapp, WhatsApp Business) utilizando la capacidad de envío de archivos de las aplicaciones de chat». «En el segundo caso, el actor de amenazas carga el archivo a un servidor accesible a Internet y luego comparte el enlace con el objetivo con la esperanza de que el objetivo descargue e instale el archivo APK». La versión actualizada del malware admite más de 60 comandos que le permiten obtener cargas útiles adicionales, descargar archivos y APK, cargar archivos (PDF, DOC, DOCX, XLX, XLSX y PPT) e imágenes, cambiar la dirección C2 y terminar, actualizar o eliminarse a sí mismo del dispositivo comprometido. El malware para Android también posee la funcionalidad de cargar todos los archivos con extensiones KMZ, WPT, RTE y TRK, cada uno de los cuales corresponde a datos de mapeo y CompeGPS que muestran puntos de referencia, rutas y pistas. «GuardZoo ha estado utilizando los mismos dominios DNS dinámicos para operaciones C2 desde octubre de 2019», dijeron los investigadores. «Estos dominios se resuelven en direcciones IP registradas en YemenNet y cambian periódicamente». Los hutíes, un grupo militante que controla Saná y el noroeste de Yemen, han incorporado capacidades cibernéticas a su arsenal en los últimos años. En mayo de 2023, Recorded Future reveló una campaña de espionaje móvil llevada a cabo por un grupo de piratas informáticos vinculado al movimiento que utilizó WhatsApp para implementar un malware para Android conocido como SpyNote (también conocido como SpyMax). «El diseño de GuardZoo se centra específicamente en el robo de fotos, documentos y archivos de mapas de los dispositivos de las víctimas, y se ha utilizado para robar con éxito documentos militares confidenciales en el pasado», dijo Islamoglu. «Los archivos de mapas en particular no se recopilan habitualmente en programas espía similares utilizados por otros actores de amenazas, e indica que los actores de amenazas pueden estar interesados ​​en rastrear los movimientos de tropas militares que probablemente se registren en aplicaciones de navegación. Esto sugiere que GuardZoo se está utilizando para recopilar inteligencia militar tanto táctica como estratégica que puede utilizarse en beneficio de otras operaciones que están llevando a cabo los hutíes». (La historia se actualizó después de la publicación para incluir comentarios adicionales de Lookout). ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.