Campanie de virusare a telefoanelor cu Android prin site-uri legitime

Cercetătorii Kaspersky Lab au descoperit ZooPark, o campanie complexă de spionaj cibernetic, îndreptată timp de mai mulți ani împotriva dispozitivelor Android aflate în țări din Orientul Mijlociu.

Folosind site-uri legitime ca sursă de infectare, campania pare să fie o operațiune sprijinită la nivel statal, care vizează organizații politice, activiști și alte ținte din regiune.

La prima vedere, malware-ul nu părea să fie ceva important: un instrument foarte simplu din punct de vedere tehnic, creat pentru spionaj cibernetic. Însă cercetătorii au decis să mai investigheze și au descoperit în curând o versiune mult mai recentă și complexă a aceleiași aplicații, pe care au denumit-o ZooPark.

Unele dintre aplicațiile malware ZooPark sunt distribuite prin intermediul unor site-uri de știri generale și politice, populare în anumite părți din Orientul Mijlociu. Acestea sunt deghizate în aplicații legitime, cu nume ca „TelegramGroups” și „Alnaharegypt news’, care sunt recunoscute și relevante în câteva țări din Orientul Mijlociu. În momentul unei infectări reușite, programul malware îi permite atacatorului:

Să extragă date:
  • Face apeluri în secret
  • Să aibă funcționalitate de backdoor:
  • Informații despre aplicațiile instalate și browser
  • Localizare GPS
  • Istoricul apelurilor și înregistrarea acestora
  • Contacte
  • Date despre cont
  • Fotografii localizate pe cardul SD al dispozitivului
  • SMS-uri
Să aibă funcționalitate de backdoor: 
  • Informații tastate și disponibile în „clipboard”
  • Trimite SMS-uri în secret
  • Execută comenzi shell

O funcție malware suplimentară vizează aplicațiile de mesagerie instant, precum Telegram și WhatsApp, browser-ul web Chrome și alte aplicații. Funcția îi permite malware-ului să fure bazele de date interne ale aplicațiilor atacate. De exemplu, raportat la browser-ul web, ar însemna că, în urma atacului, ar putea fi compromise datele de autentificare stocate pe alte site-uri.

Investigația sugerează că atacatorii se concentrează pe utilizatorii din Egipt, Iordania, Maroc, Liban și Iran. Pe baza subiectelor de știri pe care atacatorii le-au folosit ca să își atragă victimele să instaleze malware-ul, se pare că printre posibilele ținte ale ZooPark se află și membri ai UNRWA (The United Nations Relief and Works Agency).



Citeste si