.
Entrevista Quando se trata de malware de vigilância, spyware sofisticado com capacidades complexas tende a monopolizar os holofotes – por exemplo, o Pegasus do NSO Group, que é vendido para governos estabelecidos. Mas, na verdade, é um kit menos polido do qual você nunca ouviu falar, como o GuardZoo – desenvolvido e usado por rebeldes Houthi no Iêmen – que domina o espaço.
Isso é de acordo com o pesquisador principal do Lookout, Justin Albrecht, que falou conosco sobre o relatório do analista, divulgado hoje, revelando a existência do GuardZoo. O relatório diz que o software de vigilância Android baseado em Dendroid RAT, detectado pela primeira vez em 2022, ainda está ativo. Na verdade, ele está em cena desde pelo menos 2019, diz o Lookout. Os infoseccers acreditam que o GuardZoo está ligado aos rebeldes Houthi — com base em seus alvos de membros militares iemenitas, bem como registros do servidor C2 do GuardZoo, suas iscas e outros pontos de dados.
O GuardZoo é distribuído via WhatsApp ou downloads diretos do navegador e parece depender de truques de engenharia social – por exemplo, ele se passa por aplicativos legítimos e dissemina conteúdo com tema militar – para enganar os usuários e fazê-lo instalá-lo. Além de vê-lo nos dispositivos de vítimas no Iêmen, a Lookout diz que também viu amostras do GuardZoo em hardware pertencente a equipes militares na Arábia Saudita, Egito e Omã.
Os desenvolvedores do GuardZoo deram a ele seu próprio backend C2 em vez de depender do código existente coletado do Dendroid RAT, e o malware também é capaz de baixar e usar arquivos .dex para se atualizar furtivamente.
Muitas das instalações detectadas pelo Lookout falsificaram aplicativos de rastreamento de localização que permitem o uso de GPS sem sinal de celular, e muitos dos dados extraídos por uma nova instalação do GuardZoo envolvem extensões como KMZ, WPT e TRK – todas envolvendo geolocalização. Isso sugere que seus controladores estão usando-o para reunir inteligência e rastrear movimentos de tropas – consolidando ainda mais o elo com os rebeldes Houthi, afirma Albrecht.
O malware também tem a capacidade de roubar fotos, documentos, dados de dispositivos e configurações.
Quão perigoso um RAT modificado com uma década de uso pode realmente ser?
Se você ler o relatório da Lookout, pode estar se perguntando o quão perigoso um malware tão derivado e direcionado pode ser para o mundo em geral, especialmente com ameaças patrocinadas pelo governo como o Pegasus, disponíveis para qualquer estado com dinheiro suficiente para pagar as licenças.
“Este não é o malware mais sofisticado que já vimos”, diz Albrecht O registro“Não é nem de longe tão avançado quanto algo como o Pegasus, mas tem capacidades semelhantes.”
A grande diferença entre spyware como o Pegasus e o GuardZoo se resume a como ele está sendo distribuído, diz Albrecht. O Pegasus, um implante em nível de kernel que é incrivelmente difícil de detectar e mitigar, depende de alterações de exploração e vulnerabilidades invisíveis para as vítimas para se infiltrar nos dispositivos alvo em um chamado ataque de clique zero. O GuardZoo, e outros malwares de vigilância como ele, não têm a capacidade de capitalizar essas vulnerabilidades obscuras, em vez disso, dependem de enganar os usuários para instalá-lo com táticas de engenharia social.
Os operadores do GuardZoo também não parecem ambiciosos – as primeiras amostras detectadas têm cinco anos, e o GuardZoo ainda está mirando nas mesmas pessoas. Houve apenas algumas detecções fora do Oriente Médio, e essas provavelmente são o trabalho de outros pesquisadores de segurança, opina Albrecht.
Mas, embora o GuardZoo e os rebeldes Houthi supostamente por trás dele possam não ser uma ameaça para uma empresa de TI no Centro-Oeste americano, há muitos outros operadores de malware de vigilância ao redor do mundo usando software malicioso semelhante, e seus números estão crescendo.
“Temos visto um aumento no desenvolvimento de spyware e surveillanceware apoiados pelo governo”, observa Albrecht, a ponto de a maioria dos grupos de ameaças persistentes avançadas (APT) vinculados a governos estrangeiros terem malware semelhante ao GuardZoo. Mas poucos usam ferramentas tão sofisticadas quanto o Pegasus.
“O que normalmente vemos com APTs vinculados a países como Rússia, China, Coreia do Norte ou Irã é que eles têm ferramentas móveis baseadas em aplicativos”, Albrecht nos conta, “mas a maioria é fornecida por engenharia social”.
Portanto, não é da ameaça do GuardZoo que você precisa estar ciente, mas de todos os malwares de vigilância semelhantes que podem ser implantados por criminosos cibernéticos apoiados pelo Estado com maior ambição, diz ele.
GuardZoo e outros malwares de vigilância baseados em aplicativos são “desenfreados e muito eficazes”, alerta Albrecht. “Eles coletam os mesmos dados que o Pegasus … [while] oferecendo uma opção de baixo orçamento.” Então instale esses patches, faça phishing em seus usuários por diversão novamente e não ignore nenhuma ameaça – mesmo uma que não tenha mostrado nenhum sinal de mirar em você ou em seus sistemas. Ainda. ®
.
