Kaspersky Lab pētnieki ir konstatējuši ZooPark – sarežģītu kiberspiegošanas kampaņu, kas vairākus gadus uzbrūk Android ierīču lietotājiem vairākās Tuvo Austrumu valstīs.
Šī kampaņa, kas par infekcijas avotu izmanto likumīgas tīmekļa vietnes, šķiet, ir valsts atbalstīta operācija, kas vērsta pret politiskajām organizācijām, aktīvistiem un citiem upuriem šajā reģionā.
Nesen Kaspersky Lab pētnieki saņēma kaut ko, kas izskatījās pēc nezināmas Android ļaunprogrammatūras parauga. Pirmajā acu uzmetienā šī ļaunprogrammatūra nešķita nekas nopietns: tehniski ļoti vienkāršs un nepārprotams kiberspiegošanas rīks. Pētnieki nolēma turpināt izmeklēšanu un drīzumā atklāja šīs lietotnes daudz jaunāku un sarežģītāku versiju, ko nolēma nosaukt par ZooPark.
Dažas ļaunprātīgās lietotnes ZooPark tiek izplatītas no ziņu un politiskajām vietnēm, kas ir populāras noteiktās Tuvo Austrumu daļās. Tās tiek nomaskētas par likumīgām lietotnēm ar nosaukumiem, piemēram, “TelegramGroups” un “Alnaharegypt news” cita starpā, kas ir pazīstamas dažās Tuvo Austrumu valstīs un attiecas uz tām. Pēc sekmīgas inficēšanas ļaunprogrammatūra piešķir uzbrucējam šādas iespējas.
Eksfiltrācija
• Kontaktpersonas
• Konta dati
• Zvanu žurnāli un audioieraksti
• Ierīces SD kartē saglabātie attēli
• GPS atrašanās vieta
• Īsziņas
• Instalēto lietotņu informācija, pārlūka dati
• Taustiņspiedieni un starpliktuves dati
Sāndurvju funkcijas
• Slepena īsziņu nosūtīšana
• Slepena zvanīšana
• Čaulas komandu izpilde
Atsevišķa ļaunprātīga funkcija uzbrūk tūlītējās ziņapmaiņas lietotnēm, piemēram, Telegram, WhatsApp, IMO; pārlūkam (Chrome) un dažām citām lietotnēm. Tā ļauj ļaunprogrammatūrai zagt uzbrukumam pakļauto lietotņu iekšējās datubāzes. Piemēram, attiecībā uz pārlūku tas nozīmē, ka uzbrukuma dēļ var būt apdraudēta tajā saglabātā citu vietņu pierakstīšanās informācija.
Izmeklēšana liecina, ka uzbrucēji ir pievērsušies lietotājiem, kas atrodas Ēģiptē, Jordānijā, Marokā, Libānā un Irānā. Pamatojoties uz ziņu tematiem, ko uzbrucēji ir izmantojuši, lai piedabūtu upurus instalēt ļaunprogrammatūru, ļaunprogrammatūras ZooPark iespējamo mērķu vidū ir ANO Palīdzības un darba aģentūras locekļi.
“Arvien vairāk ļaužu izmanto mobilās ierīces par primāro vai dažkārt pat vienīgo saziņas līdzekli. Un to, protams, ir pamanījuši valstu sponsorēti izpildītāji, kas savus rīku komplektus veido tā, lai tie būtu pietiekami efektīvi mobilo ierīču lietotāju izsekošanai. Sarežģītais mērķuzbrukums ZooPark, kas aktīvi izspiego upurus Tuvo Austrumu valstīs, ir viens šāds piemērs, taču tas pilnīgi noteikti nav vienīgais,” sacīja Kaspersky Lab drošības eksperts Aleksejs Firšs.
Kopumā Kaspersky Lab pētniekiem ir izdevies identificēt vismaz četras spiegošanas ļaunprogrammatūras paaudzes, kas saistītas ar ZooPark saimi, kura ir aktīva vismaz kopš 2015. gada.
Kaspersky Lab izstrādājumi sekmīgi atklāj un bloķē šo apdraudējumu.
Par sarežģīto mērķuzbrukumu ZooPark vairāk lasiet vietnē Securelist.com.