Tecnología de TI

CyberSpark Group ZooPark ataca a los usuarios de Android en Medio Oriente

La semana pasada, los especialistas de Kaspersky Lab contaron sobre la intrincada campaña de espionaje cibernético ZooPark, las víctimas de los cuales son usuarios de Android de Medio Oriente.

Los investigadores han estado monitoreando el desarrollo de este programa malicioso desde 2015. Su versión actual ya es la cuarta y puede robar del teléfono infectado casi cualquier información, desde datos de contacto hasta registros de llamadas y registros desde el teclado. ZooPark puede recopilar y transferir a sus propietarios la siguiente información:

  • contactos;
  • información sobre cuentas de usuario;
  • historial de llamadas;
  • grabaciones de audio;
  • Contenido de SMS;
  • marcadores e historial de navegación
  • historial de búsqueda en el navegador;
  • ubicación del dispositivo;
  • información del dispositivo;
  • información sobre aplicaciones instaladas;
  • cualquier archivo de la tarjeta de memoria;
  • documentos del dispositivo;
  • datos , ingresado desde el teclado en pantalla;
  • datos desde el portapapeles;
  • datos de la aplicación (por ejemplo, mensajeros de Telegram, WhatsApp e IMO, y navegador Chrome).

Además, ZooPark en el equipo puede tomar capturas de pantalla y fotos, y grabar videos. Por ejemplo, puede tomar una foto del propietario del teléfono inteligente desde la cámara frontal y enviarla a sus operadores.

En este caso, ZooPark se usa para ataques dirigidos, es decir, no se calcula para una fila, sino para un público específico. Por lo tanto, las víctimas de intrusos son los interesados ​​en ciertos temas, y más específicamente – las políticas de algunos países de Medio Oriente.

Hay dos formas de propagación en ZooPark: a través de canales de Telegram y usando ataques de descarga oculta. . Por ejemplo, los delincuentes ofrecieron una solicitud para un referéndum remoto sobre la independencia del Kurdistán iraquí en el canal Telegram.

Además, los ciberdelincuentes popularizan ciertos recursos de países o círculos, luego de lo cual el sitio automáticamente comienza a descargar la aplicación infectada, pretendiendo ser útil, ejemplo, la aplicación oficial de este recurso de noticias. Finalmente, en algunos casos, el troyano simuló ser un mensajero todo en uno.

Una semana después de la publicación de este informe, un pirata informático desconocido se dirigió a Vice Motherboard, quien afirma haber sido pirateado en uno de los servidores de los operadores de ZooPark en Teherán. «10 minutos de esfuerzo; información sobre la APT iraní «, escribe el autor anónimo. Cabe señalar que en su informe, los expertos de Kaspersky Lab supusieron que los llamados «hackers del gobierno» tienen más probabilidades de estar detrás de ZooPark, pero no llegaron a ninguna conclusión específica sobre su país.

Los periodistas reconocen que el pirata informático la información no carecía de interés. El hombre desconocido fue capaz de recuperar mensajes de texto, correos electrónicos y coordenadas GPS extraídos de dispositivos infectados por ZooPark, e incluso grabar llamadas de audio de los usuarios afectados.