На прошлой неделе специалисты «Лаборатории Касперского» рассказали о запутанной кибершпионской кампании ZooPark, жертвами которой становятся пользователи Android из стран Ближнего Востока.

Исследователи наблюдают за развитием этого вредоноса с 2015 года. Его текущая версия уже является четвертой и может похитить с зараженного смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры. ZooPark способен собирать и передавать своим хозяевам следующую информацию:

  • контакты;
  • информация об аккаунтах пользователя;
  • история звонков;
  • аудиозаписи звонков;
  • содержание SMS-сообщений;
  • закладки и история браузера;
  • тстория поиска в браузере;
  • местонахождение устройства;
  • информация об устройстве;
  • информация об установленных приложениях;
  • любые файлы с карты памяти;
  • документы с устройства;
  • данные, вводимые с экранной клавиатуры;
  • данные из буфера обмена;
  • данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).

Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее свои операторам.

При этом ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Так, жертвами злоумышленников становятся те, кто интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран.

Способов распространения у ZooPark два: через Telegram-каналы и с помощью drive-by атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана.

Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-то полезным, к примеру, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях троян прикидывался универсальным мессенджером «все в одном».

Спустя неделю после публикации данного отчета, в редакцию издания Vice Motherboard обратился неизвестный хакер, который утверждает, что ему далось взломать один из серверов операторов ZooPark в Тегеране. «10 минут усилий; сведения об иранской APT», — пишет аноним. Стоит отметить, что в своем отчете эксперты «Лаборатории Касперского» предполагали, что за ZooPark, скорее всего, стоят так называемые «правительственные хакеры», однако не делали каких-либо конкретных выводов относительно их страны.

Журналисты признают, что переданная хакером информация была небезынтересной. Неизвестный сумел раздобыть текстовые сообщения, электронные письма и GPS-координаты извлеченные с устройств, зараженных ZooPark, и даже записи аудиозвонков пострадавших пользователей.

Фото: «Лаборатория Касперского»

Оставить мнение