Nueva campaña de ciberespionaje ZooPark basada en Android

  • Endpoint

Algunas de las apps maliciosas de ZooPark se están distribuyendo a través de sitios web de política y de noticias populares en Oriente Medio disfrazadas como aplicaciones legítimas, con nombres como 'TelegramGroups' y 'Alnaharegypt news'.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Los investigadores de Kaspersky Lab han descubierto ZooPark, una sofisticada campaña de ciberespionaje que durante varios años se ha dirigido a usuarios de dispositivos Android ubicados en varios países de Oriente Medio. Al usar sitios web legítimos como fuentes de infección, la campaña parece ser una operación respaldada por el estado dirigida a organizaciones políticas, activistas y otros objetivos con base en la región.

Recientemente, los investigadores de Kaspersky recibieron algo que parecía ser una muestra de malware Android desconocido. A primera vista, el malware parecía no ser nada serio: una herramienta de ciberespionaje técnicamente muy simple y directa. Los investigadores decidieron investigar más a fondo y pronto descubrieron una versión mucho más reciente y sofisticada de la misma aplicación. Decidieron llamarla ZooPark.

Algunas de las apps maliciosas de ZooPark se están distribuyendo a través de sitios web de política y de noticias populares en Oriente Medio. Están disfrazadas como aplicaciones legítimas, con nombres como 'TelegramGroups' y 'Alnaharegypt news', entre otros. Tras una infección exitosa, el malware proporciona al atacante las siguientes capacidades: exfiltración de contactos, datos de cuentas, registros de llamadas y grabaciones de audio, imágenes almacenadas en la tarjeta SD del dispositivo, ubicación, mensajes SMS, datos del navegador, keylogs y datos del portapapeles; funcionalidad de backdoor, para mandar silenciosamente SMS, hacer llamadas en silencio y ejecutar comandos de Shell.

Una función maliciosa adicional se dirige a aplicaciones de mensajería instantánea, como Telegram, WhatsApp IMO; el navegador web (Chrome) y algunas otras aplicaciones, permitiendo que el malware robe las bases de datos internas de las aplicaciones atacadas.
La investigación sugiere que los atacantes se están enfocando en usuarios con base en Egipto, Jordania, Marruecos, Líbano e Irán. Los miembros de la Agencia de Obras Públicas y Socorro de las Naciones Unidas se encuentran entre los posibles objetivos del malware ZooPark.