Een vermoedelijke pro-Houthi-dreigingsgroep heeft ten minste drie humanitaire organisaties in Jemen aangevallen met Android-spyware die bedoeld was om gevoelige informatie te verzamelen.
Deze aanvallen, toegeschreven aan een activiteitencluster met de codenaam OlieAlfaomvatten een nieuwe reeks kwaadaardige mobiele apps die hun eigen ondersteunende infrastructuur hebben, aldus Insikt Group van Recorded Future.
Doelgroepen van de lopende campagne zijn onder meer CARE International, de Noorse Vluchtelingenraad (NRC) en het Saudi-Arabische King Salman Humanitarian Aid and Relief Centre.
“De OilAlpha-dreigingsgroep is zeer waarschijnlijk actief en voert gerichte activiteiten uit tegen humanitaire en mensenrechtenorganisaties die actief zijn in Jemen en mogelijk in het hele Midden-Oosten”, aldus het cyberbeveiligingsbedrijf.
OilAlpha werd voor het eerst gedocumenteerd in mei 2023 in verband met een spionagecampagne gericht op ontwikkelings-, humanitaire, media- en niet-gouvernementele organisaties op het Arabische schiereiland.
Bij deze aanvallen werd gebruikgemaakt van WhatsApp om schadelijke Android APK-bestanden te verspreiden door ze te laten lijken alsof ze afkomstig waren van legitieme organisaties zoals UNICEF. Dit leidde uiteindelijk tot de implementatie van een malware-variant met de naam SpyNote (ook bekend als SpyMax).
De laatste golf, die begin juni 2024 werd geïdentificeerd, bestaat uit apps die beweren gerelateerd te zijn aan humanitaire hulpprogramma’s en zich voordoen als organisaties als CARE International en de NRC, die beide actief zijn in Jemen.
Na installatie vragen deze apps, die de SpyMax-trojan bevatten, om opdringerige toestemmingen, waardoor de diefstal van de gegevens van het slachtoffer wordt vergemakkelijkt.
De activiteiten van OilAlpha omvatten ook een credential harvesting component die gebruikmaakt van een aantal nep-inlogpagina’s die zich voordoen als deze organisaties in een poging om de inloggegevens van gebruikers te verzamelen. Er wordt vermoed dat het doel is om spionagepogingen uit te voeren door toegang te krijgen tot accounts die zijn gekoppeld aan de getroffen organisaties.
“Houthi-militanten proberen voortdurend de beweging en levering van internationale humanitaire hulp te beperken en profiteren van de belasting op en de wederverkoop van hulpgoederen”, aldus Recorded Future.
“Een mogelijke verklaring voor de waargenomen cyberaanvallen is dat het om het verzamelen van inlichtingen gaat om controle te krijgen over wie hulp krijgt en hoe die wordt geleverd.”
De ontwikkeling komt enkele weken nadat Lookout een aan de Houthi’s gelieerde dreigingsactor in verband bracht met een andere surveillanceware-operatie die een Android-tool voor het verzamelen van gegevens genaamd GuardZoo levert aan doelen in Jemen en andere landen in het Midden-Oosten.