ZooPark: o noua campanie malware pentru Android, raspandita prin site-uri legitime, care au fost compromise

Cercetatorii Kaspersky Lab au descoperit ZooPark, o campanie complexa de spionaj cibernetic, care a fost indreptata timp de mai multi ani impotriva dispozitivelor Android aflate in tari din Orientul Mijlociu. Folosind site-uri legitime ca sursa de infectare, campania pare sa fie o operatiune sprijinita la nivel statal, care vizeaza organizatii politice, activisti si alte tinte din regiune.

Recent, cercetatorii Kaspersky Lab au primit ceva ce parea o mostra a unui malware necunoscut pentru Android. La prima vedere, malware-ul nu parea sa fie ceva important: un instrument foarte simplu din punct de vedere tehnic, creat pentru spionaj cibernetic. Insa cercetatorii au decis sa mai investigheze si au descoperit in curand o versiune mult mai recenta si complexa a aceleiasi aplicatii, pe care au denumit-o ZooPark.

Unele dintre aplicatiile malware ZooPark sunt distribuite prin intermediul unor site-uri de stiri si politice, populare in anumite parti din Orientul Mijlociu. Acestea sunt deghizate in aplicatii legitime, cu nume ca „TelegramGroups” si „Alnaharegypt news’, care sunt recunoscute si relevante in cateva tari din Orientul Mijlociu. In momentul unei infectari reusite, programul malware ii permite atacatorului:

Sa extraga date:

Contacte

Date despre cont

Istoricul apelurilor si inregistrarea acestora

Fotografii localizate pe cardul SD al dispozitivului

Localizare GPS

SMS-uri

Informatii despre aplicatiile instalate si browser

Informatii tastate si disponibile in „clipboard”

Sa aiba functionalitate de backdoor:

Trimite SMS-uri in secret

Face apeluri in secret

Executa comenzi shell

O functie malware suplimentara vizeaza aplicatiile de mesagerie instant, precum Telegram si WhatsApp, browser-ul web Chrome si alte aplicatii. Functia ii permite malware-ului sa fure bazele de date interne ale aplicatiilor atacate. De exemplu, raportat la browser-ul web, ar insemna ca, in urma atacului, ar putea fi compromise datele de autentificare stocate pe alte site-uri.

Investigatia sugereaza ca atacatorii se concentreaza pe utilizatorii din Egipt, Iordania, Maroc, Liban si Iran. Pe baza subiectelor de stiri pe care atacatorii le-au folosit ca sa isi atraga victimele sa instaleze malware-ul, se pare ca printre posibilele tinte ale ZooPark se afla si membri ai UNRWA (The United Nations Relief and Works Agency).

Din ce in ce mai multe persoane au ca principal instrument de comunicare dispozitivele mobile – uneori fiind chiar singurul, iar acest lucru este, cu siguranta, remarcat si de autorii sponsorizati de state, care isi creeaza unelte eficiente pentru urmarirea utilizatorilor de dispozitive mobile”, spune Alexey Firsh, security expert la Kaspersky Lab. „Gruparea APT ZooPark, care spioneaza tinte din tarile din Orientul Mijlociu, este un astfel de exemplu, dar cu siguranta nu este singura.”

In total, cercetatorii Kaspersky Lab au reusit sa identifice cel putin patru generatii de malware pentru spionaj, care au legatura cu familia ZooPark – activa cel putin din 2015.

Produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

Cititi mai multe despre APT-ul ZooPark pe Securelist.com.

4626_ZooPark_infographic

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s