Campanha de malware se espalha por meio de sites legítimos comprometidos

ZooPark tem como alvo usuários de dispositivos Android baseados em diferentes países do Oriente Médio

Compartilhar:

Usando sites legítimos como fontes de infecção, a campanha de ciberespionagem chamada de ZooPark parece ser uma operação apoiada pelo nações-estado, sendo direcionada a organizações políticas e outros alvos da região. A ação tem como alvo usuários de dispositivos Android baseados em diferentes países do Oriente Médio.

Recentemente, pesquisadores da Kaspersky Lab receberam algo que parecia ser uma amostra de malware Android desconhecido. À primeira vista, o malware parecia não ser nada sério: uma ferramenta de ciberespionagem tecnicamente muito simples e direta. Os pesquisadores decidiram investigar mais e logo descobriram uma versão muito mais recente e sofisticada do mesmo aplicativo. Eles decidiram chamar de ZooPark.

Alguns dos aplicativos maliciosos ZooPark estão sendo distribuídos a partir de sites políticos de notícias e populares em partes específicas do Oriente Médio. Eles são disfarçados como aplicativos legítimos com nomes como “TelegramGroups” e “Alnaharegypt news”, entre outros, reconhecidos e relevantes para alguns países do Oriente Médio. Após uma infecção bem-sucedida, o malware fornece ao invasor as seguintes habilidades:
Extração de dados:

•    Contatos
•    Dados de contas
•    Logs de chamadas e gravações de áudio das chamadas
•    Fotos armazenadas no cartão SD do dispositivo
•    Localização do GPS
•    Mensagens SMS
•    Detalhes de aplicativos instalados, dados do navegador
•    Registros de pressionamento de teclas e dados da área de transferência
•    Outros

Funcionalidade de backdoor:

•    Envio silencioso de SMS
•    Realização silenciosa de chamadas
•    Execução de comandos do shell

Uma função maliciosa adicional é direcionada a aplicativos de mensagens instantâneas, como Telegram, WhatsApp IMO; o navegador da Web (Chrome) e alguns outros aplicativos. Ele permite que o malware roube os bancos de dados internos dos aplicativos atacados. Por exemplo, com o navegador da Web, isso significaria que as credenciais armazenadas em outros sites poderiam ser comprometidas como resultado do ataque.
A investigação sugere que os atacantes estão se concentrando em usuários localizados no Egito, Jordânia, Marrocos, Líbano e Irã. Com base nos tópicos de notícias que os invasores usaram para atrair vítimas para a instalação do malware, os membros da agência de assistência a refugiados da ONU (United Nations Relief and Works Agency) estão entre os possíveis alvos do malware ZooPark.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...