ZooPark poluje na Androida

Niektóre ze szkodliwych aplikacji ZooPark są rozprzestrzenianie z popularnych w pewnych regionach Bliskiego Wschodu portali informacyjnych oraz politycznych i podszywają się pod legalne aplikacje o takich nazwach jak „TelegramGroups” czy „Alnaharegypt news”

Hacker typing on a laptop with binary code in background

Kaspersky Lab wykrył ZooPark – wyrafinowaną kampanię cyberszpiegowską, której celem byli od kilku lat użytkownicy urządzeń z Androidem zlokalizowani w krajach Bliskiego Wschodu.

Jako źródło infekcji cyberprzestępcy wykorzystują legalne strony WWW. Kampania jest prawdopodobnie wspieraną przez rząd operacją wymierzoną w organizacje polityczne i inne cele w tym regionie.

Niedawno badacze z Kaspersky Lab otrzymali aplikację, która wyglądała na próbkę nieznanego szkodliwego oprogramowania dla systemu Android. Na pierwszy rzut oka szkodnik nie wydawał się być niczym poważnym: pod względem technicznym było to bardzo proste narzędzie cyberszpiegowskie. Badacze postanowili kontynuować badanie i w pewnym momencie odkryli znacznie nowszą i bardziej wyrafinowaną wersję tej aplikacji. Otrzymała ona nazwę ZooPark.

Niektóre ze szkodliwych aplikacji ZooPark są rozprzestrzenianie z popularnych w pewnych regionach Bliskiego Wschodu portali informacyjnych oraz politycznych i podszywają się pod legalne aplikacje o takich nazwach jak „TelegramGroups” czy „Alnaharegypt news”, które są znane i wykorzystywane w niektórych państwach Bliskiego Wschodu. Po skutecznej infekcji szkodnik zapewnia cyberprzestępcom możliwość kradzieży m.in.:

  • danych związanych z książką adresową i kontami,
  • rejestrów połączeń,
  • nagrań audio rozmów,
  • zdjęć przechowywanych na karcie SD urządzenia,
  • lokalizacji GPS,
  • wiadomości SMS,
  • szczegółów dotyczących zainstalowanych aplikacji,
  • danych dotyczących przeglądarki,
  • wprowadzanych znaków,
  • danych znajdujących się w schowku.

Dodatkowo zagrożenie umożliwia ukradkowe wysyłanie wiadomości SMS i nawiązywanie połączeń, a także wykonywanie poleceń systemowych. Celem dodatkowej szkodliwej funkcji są komunikatory internetowe, takie jak Telegram, WhatsApp, IMO, przeglądarka internetowa (Chrome) oraz inne aplikacje. Umożliwia ona szkodnikowi kradzież wewnętrznych baz danych atakowanych aplikacji. Na przykład, w przypadku przeglądarki internetowej w wyniku ataku naruszone zostałoby bezpieczeństwo przechowywanych danych uwierzytelniających dla innych stron internetowych.

Symulator phishingu on-line

W toku dochodzenia ustalono, że osoby stojące za tą kampanią polują na użytkowników zlokalizowanych w Egipcie, Jordanii, Maroku, Libanie i Iranie. Z kolei z informacji dotyczących wiadomości medialnych, które były wykorzystywane przez cyberprzestępców, aby skłonić potencjalne ofiary do zainstalowania szkodliwego oprogramowania, wynika, że celem ZooParku byli członkowie Agendy Narodów Zjednoczonych dla Pomocy Uchodźcom Palestyńskim na Bliskim Wschodzie.