В новом отчёте Insikt Group приводятся тревожные данные о действиях группировки OilAlpha, связанной с хуситами, которая активно атакует гуманитарные и правозащитные организации в Йемене. С помощью вредоносных мобильных приложений на Android группа похищает учётные данные и собирает разведданные, что может служить попыткой контролировать распределение гуманитарной помощи.
Среди жертв – сотрудники гуманитарных организаций, таких как CARE International, Норвежский совет по делам беженцев и Центр короля Сальмана по гумпомощи и помощи при бедствиях Саудовской Аравии.
Зараженные приложения были впервые обнаружены в мае 2023 года, а через год специалисты выявили новый кластер мобильных приложений и инфраструктуры, принадлежащей OilAlpha. Был обнаружен подозрительный файл для Android под названием “Cash Incentives.apk”. Приложение запрашивает обширные права доступа, включая доступ к камере, аудио, СМС, контактов и других функций, что позволяет классифицировать приложение как RAT-троян. Позднее были идентифицированы ещё два вредоносных приложения.
Поддельное приложение для поощрения денежными средствами, запрашивающее у пользователя включение Сервисов Google во время выполнения
Операции OilAlpha также включают портал для кражи учётных данных, размещённый на домене “kssnew[.]online”. Портал имитирует страницы входа гуманитарных организаций, перенаправляя пользователей на страницы ввода своих данных, которые затем перехватываются атакующими.
Поддельные страницы входа
В свете продолжающейся угрозы Insikt Group предлагает ряд стратегий минимизации рисков, включая обучение сотрудников осознанию социальной инженерии, использование надёжных паролей и многофакторной аутентификации.
Хуситы взяли под контроль столицу Йемена в 2014 году, что привело к гражданской войне. По данным правозащитных организаций, начиная с июня 2019 года противоречивое вмешательство Саудовской Аравии вызвало волну произвольных арестов, пыток и насильственных исчезновений.
Действия OilAlpha указывают на продолжающиеся попытки контроля за распределением гуманитарной помощи в Йемене. Существует вероятность, что активность распространится за пределы Йемена.
Отметим, что помимо гуманитарных организаций от хакерских атак хуситов также пострадали и военные из стран Ближнего Востока. Недавно выявленный троян GuardZoo применяется уже много лет, как минимум с октября 2019 года. GuardZoo специально разработан для кражи фотографий, документов и файлов карт с устройств жертв, что указывает на интерес к сбору тактической и стратегической военной информации.