Grupa za koje se sumnjalo da je pro-Houthi pretnja ciljala je najmanje tri humanitarne organizacije u Jemenu sa Android špijunskim softverom dizajniranim za prikupljanje osjetljivih informacija.
Ovi napadi, koji se pripisuju klasteru aktivnosti kodnog imena OilAlpha , podrazumijevaju novi skup zlonamjernih mobilnih aplikacija koje dolaze s vlastitom pratećom infrastrukturom, objavila je Insikt Group Recorded Future .
Ciljevi tekuće kampanje uključuju CARE International, Norveško vijeće za izbjeglice (NRC) i Centar za humanitarnu pomoć i pomoć kralja Saudijske Arabije Salmana.
“Grupa prijetnji OilAlpha je vrlo vjerovatno aktivna i provodi ciljane aktivnosti protiv humanitarnih organizacija i organizacija za ljudska prava koje djeluju u Jemenu, a potencijalno i na Bliskom istoku”, saopštila je kompanija za cyber sigurnost.
OilAlpha je prvi put dokumentirana u maju 2023. u vezi sa špijunskom kampanjom usmjerenom na razvojne, humanitarne, medijske i nevladine organizacije na Arapskom poluotoku.
Ovi napadi su iskoristili WhatsApp za distribuciju zlonamjernih Android APK datoteka tako što su ih predstavili kao povezane s legitimnim organizacijama poput UNICEF-a, što je na kraju dovelo do implementacije vrste zlonamjernog softvera pod nazivom SpyNote (aka SpyMax).
Najnoviji val, identificiran početkom juna 2024., uključuje aplikacije za koje se tvrdi da su povezane s programima humanitarne pomoći i maskirane u entitete kao što su CARE International i NRC , od kojih su obje aktivno prisutne u Jemenu.
Jednom instalirane, ove aplikacije – koje sadrže trojanac SpyMax – traže nametljive dozvole, čime se olakšava krađa podataka o žrtvama.
Operacije OilAlpha takođe uključuju komponentu prikupljanja akreditiva koja koristi gomilu lažnih stranica za prijavu koje se imitiraju kao ove organizacije u nastojanju da prikupi podatke za prijavu korisnika. Sumnja se da je cilj izvođenje špijunskih napora pristupom nalozima povezanim sa pogođenim organizacijama.
“Houthi militanti kontinuirano pokušavaju da ograniče kretanje i isporuku međunarodne humanitarne pomoći i profitirali su od oporezivanja i preprodaje humanitarnog materijala”, navodi Recorded Future.
“Jedno od mogućih objašnjenja za uočeno cyber ciljanje je da je to prikupljanje obavještajnih podataka kako bi se olakšali napori da se kontroliše tko dobija pomoć i kako se ona isporučuje.”
Razvoj dolazi nekoliko sedmica nakon što je Lookout umiješao pretnje usklađenog s Hutima u još jednu operaciju nadzornog softvera koja isporučuje Android alat za prikupljanje podataka pod nazivom GuardZoo ciljevima u Jemenu i drugim zemljama na Bliskom istoku.
Izvor:The Hacker News