Rebeldes Houthi estão operando seu próprio spyware GuardZoo • st

Entrevista Quando se trata de malware de vigilância, spyware sofisticado com capacidades complexas tende a monopolizar os holofotes – por exemplo, o Pegasus do NSO Group, que é vendido para governos estabelecidos. Mas, na verdade, é um kit menos polido do qual você nunca ouviu falar, como o GuardZoo – desenvolvido e usado por rebeldes Houthi no Iêmen – que domina o espaço.

Isso é de acordo com o pesquisador principal do Lookout, Justin Albrecht, que falou conosco sobre o relatório do analista, divulgado hoje, revelando a existência do GuardZoo. O relatório diz que o software de vigilância Android baseado em Dendroid RAT, detectado pela primeira vez em 2022, ainda está ativo. Na verdade, ele está em cena desde pelo menos 2019, diz o Lookout. Os infoseccers acreditam que o GuardZoo está ligado aos rebeldes Houthi — com base em seus alvos de membros militares iemenitas, bem como registros do servidor C2 do GuardZoo, suas iscas e outros pontos de dados.

O GuardZoo é distribuído via WhatsApp ou downloads diretos do navegador e parece depender de truques de engenharia social – por exemplo, ele se passa por aplicativos legítimos e dissemina conteúdo com tema militar – para enganar os usuários e fazê-lo instalá-lo. Além de vê-lo nos dispositivos de vítimas no Iêmen, a Lookout diz que também viu amostras do GuardZoo em hardware pertencente a equipes militares na Arábia Saudita, Egito e Omã.

Os desenvolvedores do GuardZoo deram a ele seu próprio backend C2 em vez de depender do código existente coletado do Dendroid RAT, e o malware também é capaz de baixar e usar arquivos .dex para se atualizar furtivamente.

Muitas das instalações detectadas pelo Lookout falsificaram aplicativos de rastreamento de localização que permitem o uso de GPS sem sinal de celular, e muitos dos dados extraídos por uma nova instalação do GuardZoo envolvem extensões como KMZ, WPT e TRK – todas envolvendo geolocalização. Isso sugere que seus controladores estão usando-o para reunir inteligência e rastrear movimentos de tropas – consolidando ainda mais o elo com os rebeldes Houthi, afirma Albrecht.

O malware também tem a capacidade de roubar fotos, documentos, dados de dispositivos e configurações.

Quão perigoso um RAT modificado com uma década de uso pode realmente ser?

Se você ler o relatório da Lookout, pode estar se perguntando o quão perigoso um malware tão derivado e direcionado pode ser para o mundo em geral, especialmente com ameaças patrocinadas pelo governo como o Pegasus, disponíveis para qualquer estado com dinheiro suficiente para pagar as licenças.

“Este não é o malware mais sofisticado que já vimos”, diz Albrecht O registro“Não é nem de longe tão avançado quanto algo como o Pegasus, mas tem capacidades semelhantes.”

A grande diferença entre spyware como o Pegasus e o GuardZoo se resume a como ele está sendo distribuído, diz Albrecht. O Pegasus, um implante em nível de kernel que é incrivelmente difícil de detectar e mitigar, depende de alterações de exploração e vulnerabilidades invisíveis para as vítimas para se infiltrar nos dispositivos alvo em um chamado ataque de clique zero. O GuardZoo, e outros malwares de vigilância como ele, não têm a capacidade de capitalizar essas vulnerabilidades obscuras, em vez disso, dependem de enganar os usuários para instalá-lo com táticas de engenharia social.

Os operadores do GuardZoo também não parecem ambiciosos – as primeiras amostras detectadas têm cinco anos, e o GuardZoo ainda está mirando nas mesmas pessoas. Houve apenas algumas detecções fora do Oriente Médio, e essas provavelmente são o trabalho de outros pesquisadores de segurança, opina Albrecht.

Mas, embora o GuardZoo e os rebeldes Houthi supostamente por trás dele possam não ser uma ameaça para uma empresa de TI no Centro-Oeste americano, há muitos outros operadores de malware de vigilância ao redor do mundo usando software malicioso semelhante, e seus números estão crescendo.

“Temos visto um aumento no desenvolvimento de spyware e surveillanceware apoiados pelo governo”, observa Albrecht, a ponto de a maioria dos grupos de ameaças persistentes avançadas (APT) vinculados a governos estrangeiros terem malware semelhante ao GuardZoo. Mas poucos usam ferramentas tão sofisticadas quanto o Pegasus.

“O que normalmente vemos com APTs vinculados a países como Rússia, China, Coreia do Norte ou Irã é que eles têm ferramentas móveis baseadas em aplicativos”, Albrecht nos conta, “mas a maioria é fornecida por engenharia social”.