ZooPark é nova campanha maliciosa de espionagem no Android

A Kaspersky Lab descobriu o ZooPark, que chamou de uma sofisticada campanha de ciberespionagem, que há vários anos tem como alvo usuários de Android baseados em países do Oriente Médio. Os cibercriminosos usam sites legítimos como fontes de infecção.

A campanha de malware parece ser uma operação apoiada por nações-estado, sendo direcionada a organizações políticas e outros alvos organizacionais que não são os usuários comuns.

A companhia de segurança e fabricante de antivírus recebeu algo que parecia ser uma amostra de malware Android desconhecido. À primeira vista, parecia não ser grave, mas os pesquisadores decidiram investigar e descobriram uma versão sofisticada, que chamaram de ZooPark.

Alguns dos aplicativos maliciosos da família ZooPark estão sendo distribuídos a partir de sites políticos de notícias e populares em partes específicas do Oriente Médio. Eles são disfarçados como aplicativos legítimos com nomes como “TelegramGroups” e “Alnaharegypt news”, entre outros, reconhecidos e relevantes para países do Oriente Médio.

Após uma infecção bem-sucedida, o malware fornece ao invasor as seguintes habilidades:

Extração de dados:

• Contatos;
• Dados de contas;
• Logs de chamadas e gravações de áudio das chamadas;
• Fotos armazenadas no cartão SD do dispositivo;
• Localização do GPS;
• Mensagens SMS;
•  Detalhes de aplicativos instalados, dados do navegador;
• Registros de pressionamento de teclas e dados da área de transferência.

Funcionalidade de backdoor:

• Envio silencioso de SMS;
• Realização silenciosa de chamadas;
• Execução de comandos do shell.

Uma função maliciosa adicional é direcionada a aplicativos de mensagens instantâneas, como Telegram, WhatsApp IMO; o navegador da Web (Chrome) e alguns outros aplicativos. O sistema permite que o malware roube os bancos de dados internos dos aplicativos atacados.

Alvos do ZooPark e a ONU

Segundo a investigação, os atacantes estão se concentrando em usuários localizados em: Egito, Jordânia, Marrocos, Líbano e Irã. Com base nos tópicos de notícias que os invasores usaram para atrair vítimas para a instalação do malware, os membros da agência de assistência a refugiados da ONU estão entre os possíveis alvos do ZooPark.

“Cada vez mais pessoas usam seus dispositivos móveis como principal e, às vezes, o único dispositivo de comunicação. Isso certamente foi identificado pelos agentes patrocinados por nações-estado, que estão elaborando seus conjuntos de ferramentas para rastrear os usuários móveis de maneira eficiente”, explica Alexey Firsh, especialista da Kaspersky Lab.

Pesquisadores conseguiram identificar pelo menos quatro gerações do malware de espionagem relacionadas ao ZooPark, ativas desde 2015.