Orta Doğu ülkelerindeki askeri personel, Android veri toplama aracı sağlayan devam eden bir gözetleme yazılımı operasyonunun hedefi haline geldi. Muhafız Hayvanat Bahçesi.
Lookout’a göre, Ekim 2019 gibi erken bir tarihte başladığı düşünülen kampanya, uygulama tuzakları, komuta ve kontrol (C2) sunucusu günlükleri, hedefleme alanı ve saldırı altyapısı konumuna dayanarak Husi bağlantılı bir tehdit aktörüne atfedildi.
Kötü amaçlı etkinlikten 450’den fazla kurban etkilendi ve hedefler Mısır, Umman, Katar, Suudi Arabistan, Türkiye, BAE ve Yemen’de bulunuyor. Telemetri verileri enfeksiyonların çoğunun Yemen’de kaydedildiğini gösteriyor.
GuardZoo, ilk olarak Mart 2014’te Broadcom’a ait Symantec tarafından keşfedilen Dendroid RAT adlı bir Android uzaktan erişim trojanının (RAT) değiştirilmiş versiyonudur. Suç yazılımı çözümüyle ilişkili tüm kaynak kodu aynı yılın Ağustos ayında sızdırıldı.
Başlangıçta 300 dolarlık tek seferlik bir fiyatla bir ticari kötü amaçlı yazılım olarak pazarlanan bu yazılım, bir telefon numarasını arama, arama kayıtlarını silme, web sayfalarını açma, ses ve aramaları kaydetme, SMS mesajlarına erişme, fotoğraf ve video çekme ve yükleme ve hatta bir HTTP flood saldırısı başlatma yeteneklerine sahip.
“Ancak, yeni işlevler eklemek ve kullanılmayan işlevleri kaldırmak için kod tabanında birçok değişiklik yapıldı,” dedi Lookout araştırmacıları Alemdar Islamoglu ve Kyle Schmittle The Hacker News ile paylaşılan bir raporda. “GuardZoo, Dendroid RAT for Command and Control (C2)’den sızdırılan PHP web panelini kullanmıyor, bunun yerine ASP.NET ile oluşturulmuş yeni bir C2 arka ucu kullanıyor.”
GuardZoo’yu dağıtan saldırı zincirleri, dağıtım vektörleri olarak WhatsApp ve WhatsApp Business’ı kullanır ve ilk enfeksiyonlar doğrudan tarayıcı indirmeleri yoluyla gerçekleşir. Tuzaklanmış Android uygulamaları, kullanıcıları indirmeye teşvik etmek için askeri ve dini temalar taşır.
Kötü amaçlı yazılımın güncellenmiş sürümü, ek yükler getirmesine, dosya ve APK’ları indirmesine, dosya (PDF, DOC, DOCX, XLX, XLSX ve PPT) ve görüntüleri yüklemesine, C2 adresini değiştirmesine ve tehlikeye atılan cihazdan kendini sonlandırmasına, güncellemesine veya silmesine olanak tanıyan 60’tan fazla komutu destekliyor.
Araştırmacılar, “GuardZoo, Ekim 2019’dan beri C2 operasyonları için aynı dinamik DNS alan adlarını kullanıyor” dedi. “Bu alan adları, YemenNet’e kayıtlı IP adreslerine çözümleniyor ve düzenli olarak değişiyor.”