GuardZoo Malware Targets Over 450 Middle Eastern Military Personnel – OfficialSarkar
मध्य पूर्व देशों के सैन्यकर्मी एक चल रहे निगरानी सॉफ्टवेयर ऑपरेशन का लक्ष्य हैं, जो एक एंड्रॉइड डेटा-एकत्रण उपकरण प्रदान करता है जिसे कहा जाता है गार्डज़ू.
अभियानलुकआउट के अनुसार, माना जाता है कि अक्टूबर 2019 की शुरुआत में शुरू हुआ, एप्लिकेशन के लालच, कमांड-एंड-कंट्रोल (सी2) सर्वर लॉग, टारगेटिंग फुटप्रिंट और हमले के बुनियादी ढांचे के स्थान के आधार पर इसे हौथी-गठबंधन वाले खतरे वाले अभिनेता के रूप में माना गया है।
मिस्र, ओमान, कतर, सऊदी अरब, तुर्की, यूएई और यमन में स्थित इस दुर्भावनापूर्ण गतिविधि से 450 से अधिक पीड़ित प्रभावित हुए हैं। टेलीमेट्री डेटा से पता चलता है कि अधिकांश संक्रमण यमन में दर्ज किए गए हैं।
गार्डज़ू डेंड्रोइड आरएटी नामक एक एंड्रॉइड रिमोट एक्सेस ट्रोजन (आरएटी) का संशोधित संस्करण है, जिसे सबसे पहले खोजा गया मार्च 2014 में ब्रॉडकॉम के स्वामित्व वाली सिमेंटेक द्वारा। क्राइमवेयर समाधान से जुड़ा पूरा स्रोत कोड लीक बाद में अगस्त में.
मूल रूप से इसे 300 डॉलर की एकमुश्त कीमत पर कमोडिटी मैलवेयर के रूप में बेचा गया था, यह फोन नंबर पर कॉल करने, कॉल लॉग्स को डिलीट करने, वेब पेज खोलने, ऑडियो और कॉल रिकॉर्ड करने, एसएमएस संदेशों तक पहुंचने, फोटो और वीडियो लेने और अपलोड करने और यहां तक कि एक साइबर हमला शुरू करने की क्षमताओं के साथ आता है। HTTP फ्लड हमला.
लुकआउट के शोधकर्ता अलेमदार इस्लामोग्लू और काइल श्मिटल ने द हैकर न्यूज़ के साथ साझा की गई एक रिपोर्ट में कहा, “हालांकि, नई कार्यक्षमताओं को जोड़ने और अप्रयुक्त फ़ंक्शन को हटाने के लिए कोड बेस में कई बदलाव किए गए थे।” “गार्डज़ू कमांड और कंट्रोल (C2) के लिए डेंड्रॉइड RAT से लीक हुए PHP वेब पैनल का उपयोग नहीं करता है, बल्कि ASP.NET के साथ बनाए गए नए C2 बैकएंड का उपयोग करता है।”
गार्डज़ू को वितरित करने वाली अटैक चेन वितरण वैक्टर के रूप में व्हाट्सएप और व्हाट्सएप बिजनेस का लाभ उठाती हैं, साथ ही शुरुआती संक्रमण सीधे ब्राउज़र डाउनलोड के माध्यम से भी होते हैं। इन फर्जी एंड्रॉयड ऐप्स में सैन्य और धार्मिक थीम होती हैं, जो उपयोगकर्ताओं को उन्हें डाउनलोड करने के लिए लुभाती हैं।
मैलवेयर का अद्यतन संस्करण 60 से अधिक कमांडों का समर्थन करता है, जो इसे अतिरिक्त पेलोड लाने, फ़ाइलें और APK डाउनलोड करने, फ़ाइलें (PDF, DOC, DOCX, XLX, XLSX, और PPT) और चित्र अपलोड करने, C2 पता बदलने, और संक्रमित डिवाइस से स्वयं को समाप्त करने, अपडेट करने या हटाने की अनुमति देता है।
शोधकर्ताओं ने कहा, “गार्डज़ू अक्टूबर 2019 से C2 संचालन के लिए एक ही डायनेमिक DNS डोमेन का उपयोग कर रहा है।” “ये डोमेन यमननेट में पंजीकृत IP पतों पर निर्भर करते हैं और वे नियमित रूप से बदलते रहते हैं।”
Source: TheHackerNews