ZooPark: nueva campaña de malware basada en Android se propaga a través de sitios web legítimos comprometidos
Recientemente, los investigadores de Kaspersky Lab recibieron algo que parecía ser una muestra de malware para Android desconocida. A primera vista, el malware parecía no ser nada serio: una herramienta de ciberespionaje técnicamente muy simple y directa. Los investigadores decidieron investigar más a fondo y pronto descubrieron una versión mucho más reciente y avanzada de la misma aplicación; la cual decidieron llamar ZooPark.
Algunas de las aplicaciones maliciosas de Zoopark se están distribuyendo desde sitios de noticias y páginas de política populares en partes específicas del Medio Oriente. Estas aplicaciones se hacen pasar por aplicaciones legitimas con nombres como ‘TelegramGroups’ y ‘Alnaharegypt news’, entre otros, reconocidos y relevantes para algunos países del Medio Oriente. Después de realizar con éxito la infección, el malware proporciona al atacante las siguientes capacidades:
Exfiltración de datos:
- Contactos
- Datos de cuentas
- Registros de llamadas y grabaciones de audio de las llamadas
- Imágenes almacenadas en la tarjeta SD del dispositivo
- Ubicación del GPS
- Mensajes SMS
- Detalles de las aplicaciones instaladas, datos del navegador
- Pulsaciones del teclado y datos del portapapeles
- Etc.
Funcionalidad de puerta trasera:
- Envió de mensajes SMS de forma silenciosa
- Realización de llamadas de forma silenciosa
- Ejecución de órdenes en el Shell
Una función maliciosa adicional se dirige a aplicaciones de mensajería instantánea, como Telegram, WhatsApp IMO; el navegador web (Chrome) y algunas otras aplicaciones. La misma permite que el malware robe las bases de datos internas de las aplicaciones atacadas. Por ejemplo, con el navegador web esto significaría que las credenciales almacenadas en otros sitios podrían verse comprometidas como resultado del ataque.
La investigación sugiere que los agentes se están enfocando en usuarios privados con sede en Egipto, Jordania, Marruecos, Líbano e Irán. Además, con base en la información sobre los temas de noticias que los atacantes utilizaron para atraer a las víctimas a instalar el malware, los miembros de la Agencia de Obras públicas y Socorro de las Naciones Unidas se encuentran entre los posibles objetivos del malware ZooPark.
“Cada vez más personas utilizan sus dispositivos móviles como el dispositivo principal de comunicación o, a veces, incluso como el único. Y eso sin duda está siendo detectado por los agentes patrocinados por estados o naciones, que están construyendo sus conjuntos de herramientas para que sean lo suficientemente eficientes como para rastrear a los usuarios de dispositivos móviles. El APT nombrado ZooPark, al espiar activamente a objetivos en los países del Medio Oriente, es un ejemplo, pero ciertamente no es el único«, dijo Alexey Firsh, experto en seguridad para Kaspersky Lab.
En total, los investigadores de Kaspersky Lab pudieron identificar al menos cuatro generaciones del malware de espionaje relacionado con la familia ZooPark, que ha estado activo desde al menos 2015.
Los productos de Kaspersky Lab detectan y bloquean exitosamente esta amenaza.