Los investigadores de Kaspersky Lab han descubierto ZooPark, una sofisticada campaña de ciberespionaje que durante varios años ha estado dirigida a usuarios de dispositivos Android ubicados en varios países del Medio Oriente. La campaña, que emplea sitios web legítimos como fuentes de infección, parece ser una operación respaldada por un estado o nación que se dirige a organizaciones, activistas, organizaciones políticas y otros objetivos con base en la región.
Recientemente, los investigadores de Kaspersky Lab recibieron algo que parecía ser una muestra de malware para Android desconocida. A primera vista, el malware parecía no ser nada serio: una herramienta de ciberespionaje técnicamente muy simple y directa. Los investigadores decidieron investigar más a fondo y pronto descubrieron una versión mucho más reciente y avanzada de la misma aplicación; la cual decidieron llamar ZooPark.
Algunas de las aplicaciones maliciosas de Zoopark se están distribuyendo desde sitios de noticias y páginas de política populares en partes específicas del Medio Oriente. Estas aplicaciones se hacen pasar por aplicaciones legitimas con nombres como ‘TelegramGroups’ y ‘Alnaharegypt news’, entre otros, reconocidos y relevantes para algunos países del Medio Oriente. Después de realizar con éxito la infección, el malware proporciona al atacante las siguientes capacidades:
Exfiltración de datos:
- Contactos
- Datos de cuentas
- Registros de llamadas y grabaciones de audio de las llamadas
- Imágenes almacenadas en la tarjeta SD del dispositivo
- Ubicación del GPS
- Mensajes SMS
- Detalles de las aplicaciones instaladas, datos del navegador
- Pulsaciones del teclado y datos del portapapeles
- Etc.
Funcionalidad de puerta trasera:
- Envió de mensajes SMS de forma silenciosa
- Realización de llamadas de forma silenciosa
- Ejecución de órdenes en el Shell
Una función maliciosa adicional se dirige a aplicaciones de mensajería instantánea, como Telegram, WhatsApp IMO; el navegador web (Chrome) y algunas otras aplicaciones. La misma permite que el malware robe las bases de datos internas de las aplicaciones atacadas. Por ejemplo, con el navegador web esto significaría que las credenciales almacenadas en otros sitios podrían verse comprometidas como resultado del ataque.
La investigación sugiere que los agentes se están enfocando en usuarios privados con sede en Egipto, Jordania, Marruecos, Líbano e Irán. Además, con base en la información sobre los temas de noticias que los atacantes utilizaron para atraer a las víctimas a instalar el malware, los miembros de la Agencia de Obras públicas y Socorro de las Naciones Unidas se encuentran entre los posibles objetivos del malware ZooPark.
“Cada vez más personas utilizan sus dispositivos móviles como el dispositivo principal de comunicación o, a veces, incluso como el único. Y eso sin duda está siendo detectado por los agentes patrocinados por estados o naciones, que están construyendo sus conjuntos de herramientas para que sean lo suficientemente eficientes como para rastrear a los usuarios de dispositivos móviles. El APT nombrado ZooPark, al espiar activamente a objetivos en los países del Medio Oriente, es un ejemplo, pero ciertamente no es el único«, dijo Alexey Firsh, experto en seguridad para Kaspersky Lab.
En total, los investigadores de Kaspersky Lab pudieron identificar al menos cuatro generaciones del malware de espionaje relacionado con la familia ZooPark, que ha estado activo desde al menos 2015.
Los productos de Kaspersky Lab detectan y bloquean exitosamente esta amenaza.
Lea más sobre la amenaza persistente de ZooPark en nuestro blog Securelist.com