Militairen uit landen in het Midden-Oosten zijn het doelwit van een voortdurende surveillanceware-operatie die een Android-tool voor het verzamelen van gegevens levert, genaamd BewakerZoo.
Volgens Lookout is de campagne, die vermoedelijk al in oktober 2019 begon, toegeschreven aan een aan de Houthi’s gelieerde dreigingsactor op basis van de applicatielokmiddelen, command-and-control (C2) serverlogs, de doelwitvoetafdruk en de locatie van de aanvalsinfrastructuur.
Meer dan 450 slachtoffers zijn getroffen door de kwaadaardige activiteit, met doelen in Egypte, Oman, Qatar, Saoedi-Arabië, Turkije, de VAE en Jemen. Telemetriegegevens geven aan dat de meeste infecties zijn geregistreerd in Jemen.
GuardZoo is een aangepaste versie van een Android-trojan voor externe toegang (RAT) met de naam Dendroid RAT, die voor het eerst werd ontdekt door Symantec, eigendom van Broadcom, in maart 2014. De volledige broncode van de crimeware-oplossing werd later die augustus gelekt.
Oorspronkelijk werd het op de markt gebracht als standaardmalware voor een eenmalige prijs van $ 300. Het biedt mogelijkheden om een telefoonnummer te bellen, gesprekslogboeken te verwijderen, webpagina’s te openen, audio en gesprekken op te nemen, sms-berichten te openen, foto’s en video’s te maken en te uploaden en zelfs een HTTP-overstromingsaanval uit te voeren.
“Er zijn echter veel wijzigingen aangebracht in de codebase om nieuwe functionaliteiten toe te voegen en ongebruikte functies te verwijderen,” aldus Lookout-onderzoekers Alemdar Islamoglu en Kyle Schmittle in een rapport dat is gedeeld met The Hacker News. “GuardZoo gebruikt niet het gelekte PHP-webpaneel van Dendroid RAT voor Command and Control (C2), maar gebruikt in plaats daarvan een nieuwe C2-backend die is gemaakt met ASP.NET.”
Aanvalsketens die GuardZoo verspreiden, maken gebruik van WhatsApp en WhatsApp Business als distributievectoren, waarbij de eerste infecties ook plaatsvinden via directe browserdownloads. De Android-apps met boobytraps hebben militaire en religieuze thema’s om gebruikers te verleiden ze te downloaden.
“We zagen dat GuardZoo op twee verschillende manieren werd verspreid,” vertelde Islamoglu aan The Hacker News. “Ten eerste stuurt de dreigingsactor het APK-bestand rechtstreeks naar het doelwit via privéchattoepassingen (Whatsapp, Whatsapp Business) door gebruik te maken van de bestandsverzendmogelijkheid van de chattoepassingen.”
“In het tweede geval uploadt de kwaadwillende partij het bestand naar een server die toegankelijk is via internet en deelt vervolgens de link met het doelwit in de hoop dat het doelwit het APK-bestand downloadt en installeert.”
De bijgewerkte versie van de malware ondersteunt meer dan 60 opdrachten waarmee het extra payloads kan ophalen, bestanden en APK’s kan downloaden, bestanden (PDF, DOC, DOCX, XLX, XLSX en PPT) en afbeeldingen kan uploaden, het C2-adres kan wijzigen en zichzelf kan beëindigen, bijwerken of verwijderen van het gecompromitteerde apparaat.
De Android-malware beschikt ook over functionaliteit om alle bestanden met de extensies KMZ, WPT, RTE en TRK te uploaden. Deze bestanden komen allemaal overeen met kaart- en CompeGPS-gegevens met waypoints, routes en tracks.
“GuardZoo gebruikt sinds oktober 2019 dezelfde dynamische DNS-domeinen voor C2-bewerkingen”, aldus de onderzoekers. “Deze domeinen worden omgezet naar IP-adressen die geregistreerd zijn bij YemenNet en ze veranderen regelmatig.”
De Houthi’s, een militante groep die Sanaa en het noordwesten van Jemen controleert, hebben de afgelopen jaren cybercapaciteiten in hun arsenaal opgenomen. In mei 2023 onthulde Recorded Future een mobiele spionagecampagne die werd uitgevoerd door een hackersgroep met banden met de beweging die WhatsApp gebruikte om een Android-malware te implementeren die bekendstaat als SpyNote (ook bekend als SpyMax).
“Het ontwerp van GuardZoo is specifiek gericht op de diefstal van foto’s, documenten en kaartbestanden van de apparaten van slachtoffers. In het verleden is het al succesvol gebruikt om gevoelige militaire documenten te stelen”, aldus Islamoglu.
“De mappingbestanden worden in het bijzonder niet vaak verzameld in vergelijkbare spyware die door andere dreigingsactoren wordt gebruikt, en geeft aan dat de dreigingsactoren mogelijk geïnteresseerd zijn in het volgen van militaire troepenbewegingen die waarschijnlijk worden vastgelegd in navigatietoepassingen. Dit suggereert dat GuardZoo wordt gebruikt om zowel tactische als strategische militaire inlichtingen te verzamelen die kunnen worden gebruikt ten behoeve van andere operaties die de Houthi’s uitvoeren.”
(Het verhaal is na publicatie bijgewerkt met aanvullende opmerkingen van Lookout.)
