Kaspersky Lab – ZooPark, il malware che colpisce i dispositivi Android in Medio Oriente

redazione

Di recente i ricercatori di Kaspersky Lab hanno ricevuto quello che sembrava essere un campione di un malware sconosciuto Android che, a prima vista, sembrava un tool di cyber spionaggio tecnicamente molto semplice. I ricercatori hanno deciso di indagare ulteriormente, scoprendo che il campione era una versione più recente e sofisticata della stessa app a cui hanno attribuito il nome di ZooPark.

Alcune app dannose ZooPark vengono diffuse da siti web famosi di notizie e politica in aree specifiche del Medio Oriente, mascherate da app legittime con nomi come “TelegramGroups” e “Alnaharegypt news” molto conosciute e rilevanti in quelle zone.

Quando il malware infetta con successo il dispositivo permette ai cyber criminali:

L’esfiltrazione di contatti, dati dell’account, registri delle chiamate e registrazioni audio delle chiamate, immagini memorizzate sulla scheda SD del dispositivo, posizione GPS, messaggi SMS, dettagli dell’applicazione installata, dati del browser, Keylogs e dati della clipboard, etc.
Funzionalità backdoor con l’invio nascosto di SMS, la possibilità di effettuare chiamate in modo nascosto e la possibilità di eseguire comandi shell

Un’ulteriore funzione dannosa prende di mira le applicazioni di messaggistica istantanea, come Telegram e IMO di WhatsApp, un browser web (Chrome) e altre applicazioni, consentendo al malware di rubare i database delle app attaccate. Ad esempio, nel caso del browser Web questo attacco comporterebbe la compromissione delle password salvate localmente e relative ai vari siti web utilizzati dall’utente.

Dai risultati delle ricerche emerge che questi attacchi si concentrano su utenti residenti in Egitto, Giordania, Marocco, Libano e Iran. Sulla base delle notizie che gli aggressori hanno usato per attirare le vittime e indurle ad installare il malware, è stato dedotto che ZooPark ha avuto tra i possibili obiettivi i membri della United Nations Relief and Works Agency.

“Sempre più persone usano i loro dispositivi mobili come dispositivi primari o unici di comunicazione. Questo fatto è noto anche ai criminali informatici sponsorizzati dagli stati-nazione che stanno sviluppando i propri strumenti in modo che possano tracciare gli utenti mobili. L’APT ZooPark, che spia attivamente gli obiettivi nei paesi del Medio Oriente, ne è un esempio, ma non è certamente l’unico”, ha affermato Alexey Firsh, security expert di Kaspersky Lab.

I ricercatori di Kaspersky Lab sono stati in grado di identificare, in tutto, almeno quattro generazioni del malware di spionaggio relativo alla famiglia ZooPark, attiva dal 2015.