Usando sites legítimos como fontes de infecção, a campanha de ciberespionagem chamada de ZooPark parece ser uma operação apoiada pelo nações-estado, sendo direcionada a organizações políticas e outros alvos da região. A ação tem como alvo usuários de dispositivos Android baseados em diferentes países do Oriente Médio.
Recentemente, pesquisadores da Kaspersky Lab receberam algo que parecia ser uma amostra de malware Android desconhecido. À primeira vista, o malware parecia não ser nada sério: uma ferramenta de ciberespionagem tecnicamente muito simples e direta. Os pesquisadores decidiram investigar mais e logo descobriram uma versão muito mais recente e sofisticada do mesmo aplicativo. Eles decidiram chamar de ZooPark.
Alguns dos aplicativos maliciosos ZooPark estão sendo distribuídos a partir de sites políticos de notícias e populares em partes específicas do Oriente Médio. Eles são disfarçados como aplicativos legítimos com nomes como “TelegramGroups” e “Alnaharegypt news”, entre outros, reconhecidos e relevantes para alguns países do Oriente Médio. Após uma infecção bem-sucedida, o malware fornece ao invasor as seguintes habilidades:
Extração de dados:
• Contatos
• Dados de contas
• Logs de chamadas e gravações de áudio das chamadas
• Fotos armazenadas no cartão SD do dispositivo
• Localização do GPS
• Mensagens SMS
• Detalhes de aplicativos instalados, dados do navegador
• Registros de pressionamento de teclas e dados da área de transferência
• Outros
Funcionalidade de backdoor:
• Envio silencioso de SMS
• Realização silenciosa de chamadas
• Execução de comandos do shell
Uma função maliciosa adicional é direcionada a aplicativos de mensagens instantâneas, como Telegram, WhatsApp IMO; o navegador da Web (Chrome) e alguns outros aplicativos. Ele permite que o malware roube os bancos de dados internos dos aplicativos atacados. Por exemplo, com o navegador da Web, isso significaria que as credenciais armazenadas em outros sites poderiam ser comprometidas como resultado do ataque.
A investigação sugere que os atacantes estão se concentrando em usuários localizados no Egito, Jordânia, Marrocos, Líbano e Irã. Com base nos tópicos de notícias que os invasores usaram para atrair vítimas para a instalação do malware, os membros da agência de assistência a refugiados da ONU (United Nations Relief and Works Agency) estão entre os possíveis alvos do malware ZooPark.
