详细内容或原文请订阅后点击阅览
胡塞叛军正在操作他们自己的 GuardZoo 间谍软件
采访研究人员称,这是一种“低成本”且不成熟的恶意软件,但它可以收集与 Pegasus 相同的数据说到监视恶意软件,具有复杂功能的复杂间谍软件往往会成为焦点——例如 NSO Group 的 Pegasus,它出售给既得利益政府。但实际上,你从未听说过的不那么精致的工具包,比如由也门胡塞叛军开发和使用的 GuardZoo,才是主导这一领域的主宰者。
来源:The Register _恶意软件采访 说到监视恶意软件,功能复杂的高级间谍软件往往会抢占风头——例如 NSO Group 的 Pegasus,它出售给既得利益政府。但实际上,你从未听说过的不那么精致的装备,比如由也门胡塞叛军开发和使用的 GuardZoo——才是主导这一领域的。
采访这是 Lookout 首席研究员 Justin Albrecht 的说法,他向我们介绍了分析师今天发布的报告,该报告揭示了 GuardZoo 的存在。报告称,基于 Dendroid RAT 的 Android 监视软件于 2022 年首次发现,目前仍处于活跃状态。Lookout 表示,它实际上至少从 2019 年开始就已出现。信息安全人员认为 GuardZoo 与胡塞叛军有关——基于其针对也门军人的目标,以及来自 GuardZoo C2 服务器的日志、诱饵和其他数据点。
报告 Dendroid RATGuardZoo 通过 WhatsApp 或直接浏览器下载进行分发,似乎依赖于社交工程技巧——例如,它冒充合法应用程序并传播军事主题内容——来诱骗用户安装它。除了在也门受害者的设备上看到它之外,Lookout 表示,它还在沙特阿拉伯、埃及和阿曼的军事人员的硬件上看到了 GuardZoo 的样本。
GuardZoo 的开发人员为其提供了自己的 C2 后端,而不是依赖从 Dendroid RAT 收集的现有代码,并且该恶意软件还能够下载并使用 .dex 文件来秘密更新自身。
Lookout 检测到的许多装置都是伪造的位置跟踪应用程序,允许在没有蜂窝信号的情况下使用 GPS,而新 GuardZoo 安装提取的大部分数据涉及 KMZ、WPT 和 TRK 等扩展 - 所有这些都涉及地理定位。这表明其控制者正在使用它来收集情报和跟踪部队调动 - 进一步巩固了与胡塞叛军的联系,Albrecht 声称。
Pegasus The Register 受害者看不见