Istraživači kompanije Kaspersky Lab otkrili su ZooPark – sofisticiranu kampanju za sajber špijunažu, koja već nekoliko godina targetira korisnike Android uređaja sa Bliskog Istoka – uglavnom iz Irana. Koristeći legitimne sajtove kao izvore infekcije, čini se da iza kampanje stoji neka nacionalna država i da je ona usmerena ka političkim organizacijama i drugim metama iz regiona.
U jednoj od rutinskih razmena podataka o pretnjama, koje se sprovode u okviru industrije, istraživači kompanije Kaspersky Lab su primili nešto što je ličilo na uzorak nepoznatog malvera za Android. Na prvi pogled, činilo se da malver nije naročito ozbiljan: tehnički veoma jednostavan alat za sajber špijunažu. Međutim, ime ovog fajla nije bilo tipično: „Referendum Kurdistan.apk”. Istraživači su odlučili da dalje istraže ovaj malver i u jednom trenutku otkrili mnogo skoriju i sofisticiraniju verziju iste aplikacije.
Neke od zlonamernih aplikacija se distribuiraju preko novinskih i političkih veb sajtova koji su popularni u određenim delovima Bliskog Istoka, prikrivenih u vidu legitimnih aplikacija sa imenima poput „TelegramGroups“ i „Alnaharegypt news“ između ostalog, što su imena koja su relevantna i poznata u nekim od zemalja Bliskog Istoka. Prilikom uspešne infekcije, malver pruža napadaču sledeće mogućnosti: Eksfiltraciju (Nedozvoljeno skidanje podataka):
- Kontakata
- Podataka o nalozima
- Liste poziva i audio snimaka poziva
- Slika koje se čuvaju na SD kartici uređaja
- GPS lokacije
- SMS poruka
- Podataka iz instaliranih aplikacija i pretraživača
- Podatke o keylogovima i clipboardu
Skrivene funkcionalnosti:
- Tajno slanje SMS-a
- Tajno pozivanje
- Izvršavanje shell komandi
Dodatna zlonamerna funkcionalnost napada aplikacije za instant dopisivanje, poput Telegrama, WhatsAppa, IMO-a; veb pretraživače (Chrome) i neke druge aplikacije. Ona omogućava malveru da ukrade interne baze podataka napadnutih aplikacija. Na primer, u slučaju veb pretraživača ovo bi značilo da bi sačuvani podaci za autentifikaciju na drugim veb sajtovima bili kompromitovani kada bi došlo do napada.
Na osnovu rezultata istrage, akteri koji stoje iza ovoga su privatni korisnici sa sedištima u Egiptu, Jordanu, Maroku, Libanu i Iranu. Takođe, na osnovu informacija o novinskim temama koje su napadači koristili kako bi namamili žrtve da instaliraju malver, kurdske pristalice i članovi agencije Ujedinjenih nacija za pomoć i radove (United Nations Relief and Works Agency) koji se nalaze u Omanu su među mogućim žrtvama ZooPark malvera.
„Sve više ljudi koristi svoje mobilne uređaje kao primarne, ponekad i jedine uređaje za komunikaciju. Ovo je svakako nešto što su primetili napadači podržani od nacionalnih država, koji se opremaju alatima koji će biti dovoljno efikasni da prate mobilne korisnike. Napredna trajna pretnja ZooPark, koja aktivno špijunira mete u zemljama Bliskog Istoka, je svakako jedan od primera ovoga, ali ne i jedini,“ rekao je Aleksej Firš (Alexey Firsh), ekspert za bezbednost u kompaniji Kaspersky Lab.
Istraživači kompanije Kaspersky Lab su uspeli da identifikuju bar četiri generacije malvera za špijuniranje iz ZooPark porodice malvera, koja je aktivna barem od 2015. godine. Pouzdano se ne zna ko stoji iza ZooPark malvera, međutim, s obzirom na javne informacije, neke delove infrastrukture za komandu i upravljanje koji su u vezi sa ZooParkom su registrovali korisnici čija lokacija upućuje na Iran. Rešenja kompanije Kaspersky Lab uspešno detektuju i blokiraju ovu pretnju. Saznajte više o naprednoj trajnoj pretnji ZooPark na sajtu Securelist.com