ZooPark se espalha por meio de sites legítimos comprometidos

Os pesquisadores da Kaspersky Lab descobriram o ZooPark, uma sofisticada campanha de ciberespionagem, que há vários anos tem como alvo usuários de dispositivos Android baseados em diferentes países do Oriente Médio. Usando sites legítimos como fontes de infecção, a campanha parece ser uma operação apoiada pelo nações-estado, sendo direcionada a organizações políticas e outros alvos da região.

Recentemente, os pesquisadores da Kaspersky Lab receberam algo que parecia ser uma amostra de malware Android desconhecido. À primeira vista, o malware parecia não ser nada sério: uma ferramenta de ciberespionagem tecnicamente muito simples e direta. Os pesquisadores decidiram investigar mais e logo descobriram uma versão muito mais recente e sofisticada do mesmo aplicativo. Eles decidiram chamar de ZooPark.

Ação do ZooPark

Alguns dos aplicativos maliciosos ZooPark estão sendo distribuídos a partir de sites políticos de notícias e populares em partes específicas do Oriente Médio. Eles são disfarçados como aplicativos legítimos com nomes como “TelegramGroups” e “Alnaharegypt news”, entre outros, reconhecidos e relevantes para alguns países do Oriente Médio. Após uma infecção bem-sucedida, o malware fornece ao invasor as seguintes habilidades:

Extração de dados:
• Contatos
• Dados de contas
• Logs de chamadas e gravações de áudio das chamadas
• Fotos armazenadas no cartão SD do dispositivo
• Localização do GPS
• Mensagens SMS
• Detalhes de aplicativos instalados, dados do navegador
• Registros de pressionamento de teclas e dados da área de transferência
• Outros

Funcionalidade de backdoor:
• Envio silencioso de SMS
• Realização silenciosa de chamadas
• Execução de comandos do shell

Uma função maliciosa adicional é direcionada a aplicativos de mensagens instantâneas, como Telegram, WhatsApp IMO; o navegador da Web (Chrome) e alguns outros aplicativos. Ele permite que o malware roube os bancos de dados internos dos aplicativos atacados. Por exemplo, com o navegador da Web, isso significaria que as credenciais armazenadas em outros sites poderiam ser comprometidas como resultado do ataque.

Atacantes

A investigação sugere que os atacantes estão se concentrando em usuários localizados no Egito, Jordânia, Marrocos, Líbano e Irã. Com base nos tópicos de notícias que os invasores usaram para atrair vítimas para a instalação do malware, os membros da agência de assistência a refugiados da ONU (United Nations Relief and Works Agency) estão entre os possíveis alvos do malware ZooPark.

“Cada vez mais pessoas usam seus dispositivos móveis como principal e, às vezes, o único dispositivo de comunicação. Isso certamente foi identificado pelos agentes patrocinados por nações-estado, que estão elaborando seus conjuntos de ferramentas para rastrear os usuários móveis de maneira eficiente. A APT ZooPark, que espiona ativamente alvos nos países do Oriente Médio, é um exemplo, mas certamente não é o único”, diz Alexey Firsh, especialista em segurança da Kaspersky Lab.

No total, os pesquisadores da Kaspersky Lab conseguiram identificar pelo menos quatro gerações do malware de espionagem relacionado à família ZooPark, que está ativa desde pelo menos 2015.

Os produtos da Kaspersky Lab detectam e bloqueiam com êxito essa ameaça. Leia mais sobre a ameaça persistente avançada do ZooPark no site Securelist.com.

Sobre a Kaspersky Lab
A Kaspersky Lab é uma empresa internacional de cibersegurança que tem mais de 20 anos de operações no mercado. A detalhada inteligência de ameaças e a especialização em segurança da Kaspersky Lab se transformam continuamente em soluções e serviços de segurança da próxima geração para proteger empresas, infraestruturas críticas, governos e consumidores finais do mundo inteiro.