screem500/guardzoo-early-evidence

# GuardZoo 早期证据 GuardZoo Android 监控软件活动的现场证据和指标（与也门胡塞武装有关），记录于 2022 年，并与 Lookout 后来在 2024 年 7 月发布的指标进行了交叉比对。 仅供防御和研究目的使用。 ## 背景 GuardZoo 是一款针对中东军事人员的 Android 监控软件。它于 2024 年 7 月 9 日由 Lookout 公开披露，并被归因于一个也门胡塞武装的威胁行为者。该活动自 2019 年 10 月左右开始活跃。该恶意软件基于泄露的 Dendroid RAT，并使用托管在 IIS 上的自定义 ASP.NET 命令与控制后端。它通过 WhatsApp、WhatsApp Business、Telegram 和直接浏览器下载进行分发，主要使用军事和地图应用作为诱饵，其主要收集目标是 GPS 和地图文件（KMZ、WPT、RTE、TRK）。 ## 现场观察 (2022) 在 2022 年，在追踪针对该地区个人的威胁时，我发现了一个通过消息应用程序传播的 Android 恶意软件活动。引人注目的是诱饵：一个伪造的地形测绘和导航应用程序，带有军事侦察术语，以 APK 形式在官方应用商店之外分发。这种分发模式与合法的应用程序更新不符，因此我追踪了发送账户和文件，并保留了消息和分发细节。这早于该活动的任何公开命名，Lookout 后来在 2024 年将其披露为 GuardZoo。 ### 传播样本 (2022) 一个木马化的诱饵通过也门号码在 WhatsApp Business 和 Telegram 上发送，伪装成 AlpineQuest 地形测绘应用程序的 2022 年付费更新版本（"Alpin Quest Pro2022"），以 APK 形式托管在 MediaFire 上。这与 GuardZoo 的模式完全吻合：一个伪造的 GPS/地图应用程序是接触那些已经拥有攻击者所寻求的 KMZ/WPT/RTE/TRK 文件的受害者的理想诱饵。  注意：原始 APK 不再保留。发布的样本和下面的实时确认涵盖了该家族和基础设施。 ### 直接回应 一名受到针对的个人（为了保护其安全，此处保持匿名）联系我寻求帮助。我审查了消息和恶意 APK，确认该分发具有敌意，并针对操作者采取了技术和报告措施。结果，攻击者的账户从 WhatsApp 和 Telegram 上被移除，合法账户成功恢复给其所有者。整个过程的首要任务是保护目标人员并在不暴露他们的情况下记录活动。  上面的截图记录了与操作者的直接对峙。随后的“验证码已更改”通知与合法账户在新设备上恢复给其合法所有者的情况相符，这与上述结果一致。这记录了现场交互；它本身并不是一种技术归因。 ## 分析与确认 已发布的指标在 VirusTotal 上进行了独立检查，样本自身的行为也证实了这些指标。 检测：该样本被绝大多数引擎标记为 Android 间谍软件，流行的威胁标签是 trojan.dingwe，这是 GuardZoo 所基于的 Dendroid 谱系的另一个名称。  行为：该样本使用携带 UID（受害者标识符）和 Password（身份验证）参数的请求联系 somrasdc.ddns.net（已发布的备份 C2），与 Lookout 的描述完全一致。它还联系 YemenNet IP 地址 134.35.5.242 和 134.35.9.243，并将 assets/sample.pdf 与被标记的 classes.dex 捆绑在一起，表明此特定样本使用了 PDF 文档诱饵。  这些共同表明，已发布的指标和 C2 协议是真实且活跃的，并将 2022 年的现场观察置于一个经过验证的活动中。这是佐证；它本身并不是与某个特定具名个体的取证链接。 ## 指标 机器可读的指标位于此存储库中： - indicators.txt：C2 域名、解析的 YemenNet IP、TLS 证书指纹、C2 请求结构和传播工件 - sha256.txt：已发布的样本哈希 攻击者电话号码已部分涂黑；保留国家代码以进行归因。 ## 不要与 2025 年的另一次活动混淆 Doctor Web 报道的另一次 2025 年活动也使用了木马化的 AlpineQuest 应用程序，但它针对的是俄罗斯军事人员，通过 Telegram 分发，并未归因于胡塞武装。这里的证据涉及的是 GuardZoo，而不是那次活动。 ## 来源 - Lookout Threat Lab，GuardZoo 报告，2024 年 7 月 9 日：https://www.lookout.com/threat-intelligence/article/guardzoo-houthi-android-surveillanceware - 样本行为已在 VirusTotal 上独立确认。 ## 鸣谢 现场证据与分析：Screem500 ## 阿拉伯语摘要 توثيق لأدلة ميدانية على حملة GuardZoo، وهي برمجية تجسس أندرويد محسوبة على الحوثيين تستهدف عسكريين في المنطقة. رُصدت الأدلة في 2022، أي قبل الكشف العلني الذي نشرته Lookout في يوليو 2024 بسنتين. تشمل الأدلة توصيل نسخة مفخخة من تطبيق الخرائط AlpineQuest عبر واتساب بزنس وتيليجرام من رقم يمني. تواصل معي الشخص المستهدف (يبقى مجهول لحمايته) طلباً للمساعدة، واتُّخذت إجراءات تقنية أدّت إلى إزالة حسابات المهاجم من واتساب وتيليجرام، وإعادة الحسابات لأصحابها الشرعيين بنجاح. وتأكدت المؤشرات حيّاً عبر VirusTotal، حيث تتصل العيّنة بنطاق الـ C2 المنشور somrasdc.ddns.net بمعاملات UID وPassword، وبعناوين YemenNet. هذا التوثيق دفاعي وبحثي، وأدلة تتقاطع مع مؤشرات منشورة ومؤكّدة، وليست إسناداً قاطعاً لشخص بعينه.

标签：Android 恶意软件, APT 攻击, IoC 指标, 威胁情报, 开发者工具, 情报分析, 目录枚举, 移动安全, 网络诊断, 足迹探测