Um grupo de ameaças pró-Houthis mirou pelo menos três organizações humanitárias no Iêmen com spyware para Android, projetado para coletar informações sensíveis. Esses ataques, atribuídos a um cluster de atividades codificado como OilAlpha, incluem um novo conjunto de aplicativos móveis maliciosos que vêm com sua própria infraestrutura de suporte, disse o Insikt Group da Recorded Future. Os alvos da campanha em andamento incluem a CARE International, o Conselho Norueguês para Refugiados (NRC) e o Centro Rei Salman de Ajuda Humanitária e Socorro da Arábia Saudita. O grupo de ameaças OilAlpha é altamente ativo e executa atividades direcionadas contra organizações humanitárias e de direitos humanos operando no Iêmen e potencialmente em todo o Oriente Médio, disse a empresa de cibersegurança. OilAlpha foi primeiro documentado em maio de 2023 em conexão com uma campanha de espionagem direcionada ao desenvolvimento, organizações humanitárias, mídia e organizações não governamentais na península arábica. Esses ataques aproveitaram o WhatsApp para distribuir arquivos APK maliciosos para Android ao passá-los como associados a organizações legítimas como UNICEF, o que levou à implantação de uma cepa de malware chamada SpyNote (também conhecida como SpyMax). A última onda, identificada no início de junho de 2024, é composta por aplicativos que afirmam estar relacionados a programas de ajuda humanitária e se disfarçam de entidades como CARE International e NRC, ambas com presença ativa no Iêmen. Uma vez instalados, esses aplicativos – que abrigam o trojan SpyMax – solicitam permissões intrusivas, facilitando assim o roubo de dados da vítima. As operações do OilAlpha também incluem um componente de colheita de credenciais que utiliza várias páginas de login falsas se passando por essas organizações na tentativa de colher as informações de login dos usuários. É suspeito que o objetivo seja realizar esforços de espionagem acessando contas associadas às organizações afetadas. “Os militantes Houthis continuamente buscaram restringir o movimento e a entrega de assistência humanitária internacional e lucraram com a taxação e revenda de materiais de ajuda”, disse a Recorded Future. “Uma possível explicação para o direcionamento cibernético observado é a coleta de informações para facilitar esforços de controle sobre quem recebe a ajuda e como ela é entregue.” O desenvolvimento ocorre semanas após a Lookout implicar um ator de ameaça aliado aos Houthis em outra operação de software de vigilância que entrega uma ferramenta de coleta de dados para Android chamada GuardZoo para alvos no Iêmen e em outros países do Oriente Médio.