Militares de países do Oriente Médio são alvos de uma operação contínua de vigilância cibernética que utiliza uma ferramenta de coleta de dados chamada GuardZoo, voltada para dispositivos Android. A campanha foi atribuída a um grupo alinhado aos Houthis, com base em iscas de aplicativos, logs de servidores de comando e controle (C2), perfil de alvos e localização da infraestrutura de ataque, segundo a Lookout.

Mais de 450 vítimas foram impactadas pela atividade maliciosa, com alvos localizados no Egito, Omã, Catar, Arábia Saudita, Turquia, Emirados Árabes Unidos e Iêmen. Dados de telemetria indicam que a maioria das infecções ocorreu no Iêmen.

Originalmente comercializado como um malware de commodities por um preço único de US$ 300, ele possui capacidades como ligar para um número de telefone, deletar registros de chamadas, abrir páginas web, gravar áudio e chamadas, acessar mensagens SMS, tirar e enviar fotos e vídeos, e até iniciar um ataque de inundação HTTP.

As cadeias de ataque que distribuem o GuardZoo utilizam o WhatsApp e o WhatsApp Business como vetores de distribuição, com as infecções iniciais ocorrendo também por downloads diretos via navegador. Os aplicativos Android armadilhados têm temas militares e religiosos para atrair os usuários a baixá-los.

A versão atualizada do malware suporta mais de 60 comandos que permitem buscar payloads adicionais, baixar arquivos e APKs, fazer upload de arquivos (PDF, DOC, DOCX, XLX, XLSX e PPT), e imagens, alterar o endereço C2, e terminar, atualizar ou deletar-se do dispositivo comprometido.