Yemen’deki Husi isyancılarıyla bağlantılı olduğu düşünülen bir tehdit aktörü, yaklaşık yarım on yıldır Ortadoğu’daki askeri hedefleri gözetliyor.
Savaş silahları: “GuardZoo” adı verilen özel bir Android gözetleme yazılımı. GuardZoo’nun, aktörün askeri düşmanlarına ilişkin resmi belgeler, fotoğraflar ve birliklerin konumları ve hareketleriyle ilgili veriler de dahil olmak üzere potansiyel olarak değerli istihbaratı çalmak için kullanıldığı anlaşılıyor.
GuardZoo Kampanyası
GuardZoo saldırıları şu şekilde başlıyor: WhatsApp’ta dağıtılan kötü amaçlı bağlantılar ve WhatsApp Business.
Bağlantılar Google Play mağazasının dışında barındırılan sahte uygulamalara yönlendiriyor. Bazıları genel temalarla ilgili — “Kur’an-ı Kerim” ve “Telefonunuzu Bulun” gibi — ancak çoğu askeri odaklı — “Savaş Sanatı”, “Silahlı Kuvvetlerin Anayasası” ve Yemen Silahlı Kuvvetleri ve Suudi Silahlı Kuvvetleri Komuta ve Kurmay Koleji gibi belirli örgütlerle ilgili olanlar.
Bu çeşitli uygulamaların hepsi GuardZoo kötü amaçlı yazılımını iletir.
GuardZoo’nun sahte uygulamaları; Kaynak: Lookout
GuardZoo esasen sızdırılan “Dendroid FARE“yağların bir kısmı çıkarılmış ve sahibinin casusluk ihtiyaçlarına uyan düzinelerce komutla yeniden donatılmış. Bu, Ekim 2019’a dayanan kampanyanın ancak şimdi gün yüzüne çıkmasının kısmen nedenini açıklayabilir. “Eğer birileri diğer birçok aktörle aynı araçları kullanıyorsa, o zaman uçabilirler [under the radar] “Çünkü göze çarpmıyorlar,” diye açıklıyor Lookout’un güvenlik istihbarat araştırmaları direktörü Christoph Hebeisen.
Enfeksiyondan sonra, GuardZoo’nun ilk eylemleri her zaman yerel günlük kaydını devre dışı bırakmayı ve kurbanın son yedi yıldaki KMZ, WPT (yol noktası), RTE (rota) ve TRK (iz) dosya uzantılarıyla eşleşen tüm dosyalarını dışarı çıkarmayı içerir. Özellikle, bu uzantıların hepsi GPS ve haritalama uygulamaları.
Kötü amaçlı yazılım ayrıca daha fazla kötü amaçlı yazılımın indirilmesini kolaylaştırabilir, kurbanın makinesine ait bilgileri (örneğin modeli, hücresel servis sağlayıcısı ve bağlantı hızı) okuyabilir ve daha fazlasını yapabilir.
Orta Doğu Askeri Hedefleri
Hebeisen’e göre, “Bize askeri hedeflemenin güçlü bir şekilde işaret ettiği bir şey var [is] haritalamayla çok ilgili olan sabit kodlu dosya uzantıları. Bana göre bu hedefleme, askeri bir çatışmaya dahil oldukları göz önüne alındığında, düşmandan taktiksel bilgi aradıklarını gösteriyor.”
Lookout tarafından gözlemlenen 450 etkilenen IP adresinin büyük çoğunluğu Yemen’de yoğunlaşmış olsa da, Suudi Arabistan, Mısır, Birleşik Arap Emirlikleri, Türkiye, Katar ve Umman’ı da kapsıyordu.
Husi bağlantısı, özellikle kötü amaçlı yazılımın komuta ve kontrol (C2) sunucusunun konumuyla güçlendiriliyor. “Dinamik IP adresleri kullanıyor, ancak Husi kontrolündeki bir bölgede faaliyet gösteren bir telekom sağlayıcısıyla. Bu fiziksel bir sunucu — seri numarasını aldık ve aslında izleyebildik — ve muhtemelen düşman topraklarına fiziksel bir sunucu yerleştirmek istemezsiniz,” diye akıl yürütüyor Hebeisen.
Hedeflerinin önemine göre, bu kampanyaya karşı savunma yapmak aslında oldukça basittir. basın bülteniLookout, Android kullanıcılarının Google Play dışında barındırılan uygulamalardan kaçınmaları, uygulamalarını her zaman güncel tutmaları ve aşırı izinlere karşı dikkatli olmaları gerektiğini vurguladı.