Цифровое оружие в пустыне: OilAlpha охотится за гуманитарной помощью

В новом отчёте Insikt Group приводятся тревожные данные о действиях группировки OilAlpha, связанной с хуситами, которая активно атакует гуманитарные и правозащитные организации в Йемене. С помощью вредоносных мобильных приложений на Android группа похищает учётные данные и собирает разведданные, что может служить попыткой контролировать распределение гуманитарной помощи.

Среди жертв – сотрудники гуманитарных организаций, таких как CARE International, Норвежский совет по делам беженцев и Центр короля Сальмана по гумпомощи и помощи при бедствиях Саудовской Аравии.

Зараженные приложения были впервые обнаружены в мае 2023 года, а через год специалисты выявили новый кластер мобильных приложений и инфраструктуры, принадлежащей OilAlpha. Был обнаружен подозрительный файл для Android под названием «Cash Incentives.apk». Приложение запрашивает обширные права доступа, включая доступ к камере, аудио, СМС, контактов и других функций, что позволяет классифицировать приложение как RAT-троян. Позднее были идентифицированы ещё два вредоносных приложения.

Поддельное приложение для поощрения денежными средствами, запрашивающее у пользователя включение Сервисов Google во время выполнения

Операции OilAlpha также включают портал для кражи учётных данных, размещённый на домене «kssnew[.]online». Портал имитирует страницы входа гуманитарных организаций, перенаправляя пользователей на страницы ввода своих данных, которые затем перехватываются атакующими.

Поддельные страницы входа

В свете продолжающейся угрозы Insikt Group предлагает ряд стратегий минимизации рисков, включая обучение сотрудников осознанию социальной инженерии, использование надёжных паролей и многофакторной аутентификации.

Хуситы взяли под контроль столицу Йемена в 2014 году, что привело к гражданской войне. По данным правозащитных организаций, начиная с июня 2019 года противоречивое вмешательство Саудовской Аравии вызвало волну произвольных арестов, пыток и насильственных исчезновений.

Действия OilAlpha указывают на продолжающиеся попытки контроля за распределением гуманитарной помощи в Йемене. Существует вероятность, что активность распространится за пределы Йемена.

Отметим, что помимо гуманитарных организаций от хакерских атак хуситов также пострадали и военные из стран Ближнего Востока. Недавно выявленный троян GuardZoo применяется уже много лет, как минимум с октября 2019 года. GuardZoo специально разработан для кражи фотографий, документов и файлов карт с устройств жертв, что указывает на интерес к сбору тактической и стратегической военной информации.