I ricercatori di Kaspersky Lab hanno scoperto ZooPark, una sofisticata campagna di cyber spionaggio che da diversi anni ha preso di mira gli utenti di dispositivi Android che risiedono in Medio Oriente, in particolar modo in Egitto, Giordania, Marocco, Libano e Iran
Di recente i ricercatori di Kaspersky Lab hanno ricevuto quello che sembrava essere un campione di un malware sconosciuto Android che, a prima vista, sembrava un tool di cyber spionaggio tecnicamente molto semplice. I ricercatori hanno deciso di indagare ulteriormente, scoprendo che il campione era una versione più recente e sofisticata della stessa app a cui hanno attribuito il nome di ZooPark.
Alcune app dannose ZooPark vengono diffuse da siti web famosi di notizie e politica in aree specifiche del Medio Oriente, mascherate da app legittime con nomi come “TelegramGroups” e “Alnaharegypt news” molto conosciute e rilevanti in quelle zone.
Quando il malware infetta con successo il dispositivo permette ai cyber criminali:
- L’esfiltrazione di contatti, dati dell’account, registri delle chiamate e registrazioni audio delle chiamate, immagini memorizzate sulla scheda SD del dispositivo, posizione GPS, messaggi SMS, dettagli dell’applicazione installata, dati del browser, Keylogs e dati della clipboard, etc.
- Funzionalità backdoor con l’invio nascosto di SMS, la possibilità di effettuare chiamate in modo nascosto e la possibilità di eseguire comandi shell
Un’ulteriore funzione dannosa prende di mira le applicazioni di messaggistica istantanea, come Telegram e IMO di WhatsApp, un browser web (Chrome) e altre applicazioni, consentendo al malware di rubare i database delle app attaccate. Ad esempio, nel caso del browser Web questo attacco comporterebbe la compromissione delle password salvate localmente e relative ai vari siti web utilizzati dall’utente.
Dai risultati delle ricerche emerge che questi attacchi si concentrano su utenti residenti in Egitto, Giordania, Marocco, Libano e Iran. Sulla base delle notizie che gli aggressori hanno usato per attirare le vittime e indurle ad installare il malware, è stato dedotto che ZooPark ha avuto tra i possibili obiettivi i membri della United Nations Relief and Works Agency.
“Sempre più persone usano i loro dispositivi mobili come dispositivi primari o unici di comunicazione. Questo fatto è noto anche ai criminali informatici sponsorizzati dagli stati-nazione che stanno sviluppando i propri strumenti in modo che possano tracciare gli utenti mobili. L’APT ZooPark, che spia attivamente gli obiettivi nei paesi del Medio Oriente, ne è un esempio, ma non è certamente l’unico”, ha affermato Alexey Firsh, security expert di Kaspersky Lab.
I ricercatori di Kaspersky Lab sono stati in grado di identificare, in tutto, almeno quattro generazioni del malware di spionaggio relativo alla famiglia ZooPark, attiva dal 2015.
