Cyberszpiegowski atak na Bliskim Wschodzie. Na celowniku urządzenia z Androidem
Badacze z Kaspersky Lab wykryli ZooPark – wyrafinowaną kampanię cyberszpiegowską, której celem byli od kilku lat użytkownicy urządzeń z Androidem zlokalizowani w krajach Bliskiego Wschodu. Jako źródło infekcji cyberprzestępcy wykorzystują legalne strony WWW. Kampania jest prawdopodobnie wspieraną przez rząd operacją wymierzoną w organizacje polityczne i inne cele w tym regionie.
Niedawno badacze z Kaspersky Lab otrzymali aplikację, która wyglądała na próbkę nieznanego szkodliwego oprogramowania dla systemu Android. Na pierwszy rzut oka szkodnik nie wydawał się być niczym poważnym: pod względem technicznym było to bardzo proste narzędzie cyberszpiegowskie. Badacze postanowili kontynuować analizy i w pewnym momencie odkryli znacznie nowszą i bardziej wyrafinowaną wersję tej aplikacji. Otrzymała ona nazwę ZooPark.
Niektóre ze szkodliwych aplikacji ZooPark są rozprzestrzenianie z popularnych w pewnych regionach Bliskiego Wschodu portali informacyjnych oraz politycznych i podszywają się pod legalne aplikacje o takich nazwach jak „TelegramGroups” czy „Alnaharegypt news”, które są znane i wykorzystywane w niektórych państwach Bliskiego Wschodu. Po skutecznej infekcji szkodnik zapewnia cyberprzestępcom możliwość kradzieży m.in.:
• danych związanych z książką adresową i kontami,
• rejestrów połączeń,
• nagrań audio rozmów,
• zdjęć przechowywanych na karcie SD urządzenia,
• lokalizacji GPS,
• wiadomości SMS,
• szczegółów dotyczących zainstalowanych aplikacji,
• danych dotyczących przeglądarki,
• wprowadzanych znaków,
• danych znajdujących się w schowku.
Dodatkowo zagrożenie umożliwia ukradkowe wysyłanie wiadomości SMS i nawiązywanie połączeń, a także wykonywanie poleceń systemowych. Celem dodatkowej szkodliwej funkcji są komunikatory internetowe, takie jak Telegram, WhatsApp, IMO, przeglądarka internetowa (Chrome) oraz inne aplikacje. Umożliwia ona szkodnikowi kradzież wewnętrznych baz danych atakowanych aplikacji. Na przykład, w przypadku przeglądarki internetowej w wyniku ataku naruszone zostałoby bezpieczeństwo przechowywanych danych uwierzytelniających dla innych stron internetowych.
W toku dochodzenia ustalono, że osoby stojące za tą kampanią polują na użytkowników zlokalizowanych w Egipcie, Jordanii, Maroku, Libanie i Iranie. Z kolei z informacji dotyczących wiadomości medialnych, które były wykorzystywane przez cyberprzestępców, aby skłonić potencjalne ofiary do zainstalowania szkodliwego oprogramowania, wynika, że celem ZooParku byli członkowie Agendy Narodów Zjednoczonych dla Pomocy Uchodźcom Palestyńskim na Bliskim Wschodzie.
"Coraz więcej osób wykorzystuje urządzenia mobilne jako główne, a niekiedy wręcz jedyne narzędzie komunikacji. Bez wątpienia trend ten dostrzegają ugrupowania cyberprzestępcze sponsorowane przez rządy, które rozwijają zestawy narzędzi umożliwiające skuteczne śledzenie użytkowników mobilnych. Jednym z przykładów, choć z pewnością nie jedynym, jest ugrupowanie o nazwie ZooPark, które aktywnie szpieguje cele w państwach Bliskiego Wschodu" – powiedział Alex Firsh, ekspert ds. cyberbezpieczeństwa w Kaspersky Lab.
Łącznie badacze zdołali zidentyfikować co najmniej cztery generacje szkodliwego oprogramowania szpiegowskiego powiązanego z rodziną ZooPark, która jest aktywna przynajmniej od 2015 r.