Cercetatorii Kaspersky Lab au descoperit ZooPark, o campanie complexa de spionaj cibernetic, care a fost indreptata timp de mai multi ani impotriva dispozitivelor Android aflate in tari din Orientul Mijlociu. Folosind site-uri legitime ca sursa de infectare, campania pare sa fie o operatiune sprijinita la nivel statal, care vizeaza organizatii politice, activisti si alte tinte din regiune.

Recent, cercetatorii Kaspersky Lab au primit ceva ce parea o mostra a unui malware necunoscut pentru Android. La prima vedere, malware-ul nu parea sa fie ceva important: un instrument foarte simplu din punct de vedere tehnic, creat pentru spionaj cibernetic. Insa  cercetatorii au decis sa mai investigheze si au descoperit in curand o versiune mult mai recenta si complexa a aceleiasi aplicatii, pe care au denumit-o ZooPark.

Unele dintre aplicatiile malware ZooPark sunt distribuite prin intermediul unor site-uri de stiri si politice, populare in anumite parti din Orientul Mijlociu. Acestea sunt deghizate in aplicatii legitime, cu nume ca „TelegramGroups” si „Alnaharegypt news’, care sunt recunoscute si relevante in cateva tari din Orientul Mijlociu. In momentul unei infectari reusite, programul malware ii permite atacatorului:

Sa extraga date:

– Contacte

– Date despre cont

– Istoricul apelurilor si inregistrarea acestora

– Fotografii localizate pe cardul SD al dispozitivului

– Localizare GPS

– SMS-uri

– Informatii despre aplicatiile instalate si browser

– Informatii tastate si disponibile in „clipboard”

Sa aiba functionalitate de backdoor:

– Trimite SMS-uri in secret

– Face apeluri in secret

– Executa comenzi shell

O functie malware suplimentara vizeaza aplicatiile de mesagerie instant, precum Telegram si WhatsApp, browser-ul web Chrome si alte aplicatii. Functia ii permite malware-ului sa fure bazele de date interne ale aplicatiilor atacate. De exemplu, raportat la browser-ul web, ar insemna ca, in urma atacului, ar putea fi compromise datele de autentificare stocate pe alte site-uri.

Investigatia sugereaza ca atacatorii se concentreaza pe utilizatorii din Egipt, Iordania, Maroc, Liban si Iran. Pe baza subiectelor de stiri pe care atacatorii le-au folosit ca sa isi atraga victimele sa instaleze malware-ul, se pare ca printre posibilele tinte ale ZooPark se afla si membri ai UNRWA (The United Nations Relief and Works Agency).

„Din ce in ce mai multe persoane au ca principal instrument de comunicare dispozitivele mobile – uneori fiind chiar singurul, iar acest lucru este, cu siguranta, remarcat si de autorii sponsorizati de state, care isi creeaza unelte eficiente pentru urmarirea utilizatorilor de dispozitive mobile”, spune Alexey Firsh, security expert la Kaspersky Lab. „Gruparea APT ZooPark, care spioneaza tinte din tarile din Orientul Mijlociu, este un astfel de exemplu, dar cu siguranta nu este singura.”

In total, cercetatorii Kaspersky Lab au reusit sa identifice cel putin patru generatii de malware pentru spionaj, care au legatura cu familia ZooPark – activa cel putin din 2015.

Produsele Kaspersky Lab detecteaza si blocheaza aceasta amenintare.

Cititi mai multe despre APT-ul ZooPark pe Securelist.com.