На прошлой неделе специалисты «Лаборатории Касперского» рассказали о запутанной кибершпионской кампании ZooPark, жертвами которой становятся пользователи Android из стран Ближнего Востока.
Исследователи наблюдают за развитием этого вредоноса с 2015 года. Его текущая версия уже является четвертой и может похитить с зараженного смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры. ZooPark способен собирать и передавать своим хозяевам следующую информацию:
- контакты;
- информация об аккаунтах пользователя;
- история звонков;
- аудиозаписи звонков;
- содержание SMS-сообщений;
- закладки и история браузера;
- тстория поиска в браузере;
- местонахождение устройства;
- информация об устройстве;
- информация об установленных приложениях;
- любые файлы с карты памяти;
- документы с устройства;
- данные, вводимые с экранной клавиатуры;
- данные из буфера обмена;
- данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).
Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее свои операторам.
При этом ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Так, жертвами злоумышленников становятся те, кто интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран.
Способов распространения у ZooPark два: через Telegram-каналы и с помощью drive-by атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана.
Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-то полезным, к примеру, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях троян прикидывался универсальным мессенджером «все в одном».
Спустя неделю после публикации данного отчета, в редакцию издания Vice Motherboard обратился неизвестный хакер, который утверждает, что ему далось взломать один из серверов операторов ZooPark в Тегеране. «10 минут усилий; сведения об иранской APT», — пишет аноним. Стоит отметить, что в своем отчете эксперты «Лаборатории Касперского» предполагали, что за ZooPark, скорее всего, стоят так называемые «правительственные хакеры», однако не делали каких-либо конкретных выводов относительно их страны.
Журналисты признают, что переданная хакером информация была небезынтересной. Неизвестный сумел раздобыть текстовые сообщения, электронные письма и GPS-координаты извлеченные с устройств, зараженных ZooPark, и даже записи аудиозвонков пострадавших пользователей.
Фото: "Лаборатория Касперского"