Jako źródło infekcji cyberprzestępcy wykorzystują legalne strony WWW. Kampania jest prawdopodobnie wspieraną przez rząd operacją wymierzoną w organizacje polityczne i inne cele w tym regionie.
Niedawno badacze z Kaspersky Lab otrzymali aplikację, która wyglądała na próbkę nieznanego szkodliwego oprogramowania dla systemu Android. Na pierwszy rzut oka szkodnik nie wydawał się być niczym poważnym: pod względem technicznym było to bardzo proste narzędzie cyberszpiegowskie. Badacze postanowili kontynuować badanie i w pewnym momencie odkryli znacznie nowszą i bardziej wyrafinowaną wersję tej aplikacji. Otrzymała ona nazwę ZooPark.
Niektóre ze szkodliwych aplikacji ZooPark są rozprzestrzenianie z popularnych w pewnych regionach Bliskiego Wschodu portali informacyjnych oraz politycznych i podszywają się pod legalne aplikacje o takich nazwach jak „TelegramGroups” czy „Alnaharegypt news”, które są znane i wykorzystywane w niektórych państwach Bliskiego Wschodu. Po skutecznej infekcji szkodnik zapewnia cyberprzestępcom możliwość kradzieży m.in.:
- danych związanych z książką adresową i kontami,
- rejestrów połączeń,
- nagrań audio rozmów,
- zdjęć przechowywanych na karcie SD urządzenia,
- lokalizacji GPS,
- wiadomości SMS,
- szczegółów dotyczących zainstalowanych aplikacji,
- danych dotyczących przeglądarki,
- wprowadzanych znaków,
- danych znajdujących się w schowku.
Dodatkowo zagrożenie umożliwia ukradkowe wysyłanie wiadomości SMS i nawiązywanie połączeń, a także wykonywanie poleceń systemowych. Celem dodatkowej szkodliwej funkcji są komunikatory internetowe, takie jak Telegram, WhatsApp, IMO, przeglądarka internetowa (Chrome) oraz inne aplikacje. Umożliwia ona szkodnikowi kradzież wewnętrznych baz danych atakowanych aplikacji. Na przykład, w przypadku przeglądarki internetowej w wyniku ataku naruszone zostałoby bezpieczeństwo przechowywanych danych uwierzytelniających dla innych stron internetowych.
W toku dochodzenia ustalono, że osoby stojące za tą kampanią polują na użytkowników zlokalizowanych w Egipcie, Jordanii, Maroku, Libanie i Iranie. Z kolei z informacji dotyczących wiadomości medialnych, które były wykorzystywane przez cyberprzestępców, aby skłonić potencjalne ofiary do zainstalowania szkodliwego oprogramowania, wynika, że celem ZooParku byli członkowie Agendy Narodów Zjednoczonych dla Pomocy Uchodźcom Palestyńskim na Bliskim Wschodzie.
Coraz więcej osób wykorzystuje urządzenia mobilne jako główne, a niekiedy wręcz jedyne narzędzie komunikacji. Bez wątpienia trend ten dostrzegają ugrupowania cyberprzestępcze sponsorowane przez rządy, które rozwijają zestawy narzędzi umożliwiające skuteczne śledzenie użytkowników mobilnych. Jednym z przykładów, choć z pewnością nie jedynym, jest ugrupowanie o nazwie ZooPark, które aktywnie szpieguje cele w państwach Bliskiego Wschodu – powiedział Alex Firsh, ekspert ds. cyberbezpieczeństwa, Kaspersky Lab.
Łącznie badacze z Kaspersky Lab zdołali zidentyfikować co najmniej cztery generacje szkodliwego oprogramowania szpiegowskiego powiązanego z rodziną ZooPark, która jest aktywna przynajmniej od 2015 r.
Produkty firmy Kaspersky Lab skutecznie wykrywają i blokują omawiane zagrożenie.
Szczegóły techniczne dotyczące ataków ZooPark znajdują się na stronie https://r.kaspersky.pl/MKK7b.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.
Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie https://www.kaspersky.pl/nowosci.