ZooPark: nova alatka sajber špijunaže na Android uređajima, koja lovi političke mete na Bliskom Istoku, kroz inficirane aplikacije i veb sajtove.
Istraživači kompanije Kaspersky Lab otkrili su ZooPark - sofisticiranu kampanju za sajber špijunažu, koja već nekoliko godina cilja korisnike Android uređaja sa Bliskog Istoka - uglavnom iz Irana. Koristeći legitimne sajtove, kao izvore infekcije, čini se da iza kampanje stoji neka nacionalna država i da je ona usmerena ka političkim organizacijama i drugim metama iz regiona.
U jednoj od rutinskih razmena podataka o pretnjama, koje se sprovode u okviru industrije, istraživači ruske kompanije primili su nešto što je ličilo na uzorak nepoznatog malvera za Android. Na prvi pogled, činilo se da malver nije naročito ozbiljan: tehnički veoma jednostavan alat za sajber špijunažu. Međutim, ime ovog fajla nije bilo tipično: „Referendum Kurdistan.apk”. Istraživači su odlučili da dalje istraže ovaj malver i u jednom trenutku otkrili mnogo skoriju i sofisticiraniju verziju iste aplikacije.
Je li to ispred vas kamera ili špijunski gedžet?
Neke od zlonamernih aplikacija se distribuiraju preko novinskih i političkih veb sajtova, koji su popularni u određenim delovima Bliskog Istoka, prikrivenih u vidu legitimnih aplikacija sa imenima poput „TelegramGroups“, „WhatsAppGroups“ i „Alnaharegypt news“ između ostalog, što su imena koja su relevantna i poznata u nekim od zemalja Bliskog Istoka. Prilikom uspešne infekcije, malver pruža napadaču sledeće mogućnosti:
Eksfiltraciju tj. nedozvoljeno skidanje podataka, i to:
- Kontakata
- Podataka o nalozima
- Liste poziva i audio snimaka poziva
- Slika koje se čuvaju na SD kartici uređaja
- GPS lokacije
- SMS poruka
- Podataka iz instaliranih aplikacija i pretraživača
- Podatke o keylogovima i clipboardu Itd.
Skrivene funkcionalnosti:
- Tajno slanje SMS poruka
- Tajno pozivanje i
- Izvršavanje shell komandi.
Dodatna zlonamerna funkcionalnost napada aplikacije za instant dopisivanje, poput Telegram-a, WhatsApp-a, IMO-a; veb pregledače (Chrome) i druge aplikacije. Ona omogućava malveru da ukrade interne baze podataka napadnutih aplikacija. Na primer, u slučaju veb pregledača ovo bi značilo da bi sačuvani podaci za autentifikaciju na drugim veb sajtovima bili kompromitovani, kad bi došlo do napada.
Špijun iz Wi-Fi rutera: Sve što bi trebalo znati
Na osnovu rezultata istrage, akteri koji stoje iza ovoga su privatni korisnici sa sedištima u Egiptu, Jordanu, Maroku, Libanu i Iranu. Takođe, na osnovu informacija o novinskim temama, koje su napadači koristili kako bi namamili žrtve da instaliraju malver, kurdske pristalice i članovi agencije Ujedinjenih nacija za pomoć i radove (United Nations Relief and Works Agency), koji se nalaze u Omanu su među mogućim žrtvama ZooPark malvera.
Istraživači kompanije Kaspersky Lab su uspeli da identifikuju bar četiri generacije malvera za špijuniranje iz ZooPark porodice malvera, koja je aktivna barem od 2015. godine. Pouzdano se ne zna ko stoji iza ZooPark-a, međutim, s obzirom na javne informacije, neke delove infrastrukture za komandu i upravljanje, koji su u vezi sa ZooPark-om su registrovali korisnici čija lokacija upućuje na Iran.
Rešenja kompanije Kaspersky Lab uspešno detektuju i blokiraju ovu pretnju. Saznajte više o naprednoj trajnoj pretnji ZooPark na sajtu Securelist.com.