ZooPark, un nuevo actor de ciberespionaje Android, a la caza de objetivos políticos de Próximo Oriente

android_gooliganEn un intercambio de información sobre amenazas, los analistas de Kaspersky Lab recibieron algo que parecía ser una muestra desconocida de malware Android. A primera vista, el malware no parecía ser nada serio, sino una herramienta de ciberespionaje técnicamente muy simple y directa. Sin embargo, el nombre del archivo no era habitual: Refrendum Kusdistan.apk. Los analistas decidieron investigar más a fondo y descubrieron una versión mucho más reciente y sofisticada de la misma app.

Algunas de las aplicaciones maliciosas se distribuyen desde sitios web de noticias y política muy populares desde Oriente Próximo, disfrazados de aplicaciones legítimas con nombres como “TelegramGroups” y “Alnaharegypt news” entre otros, muy reconocidas y relevantes para algunos países de Oriente Próximo. Tras conseguir infectar, el malware proporciona al ciberdelincuente las siguientes capacidades:

Exfiltración
* Contactos
* Datos de la cuenta
* Registro de llamadas y grabaciones de audio de las llamadas
* Fotografías almacenadas en la tarjeta SD del dispositivo
* Localización GPS
* Mensajes SMS
* Detalles de la aplicación instalada, datos del navegador
* Keylogs y datos del portapapeles
* Etc.

Funcionalidad backdoor:
* Envío silencioso de mensajes SMS
* Realización silenciosa de llamadas
* Ejecución de comandos de Shell

Una función maliciosa adicional apunta a las aplicaciones de mensajería instantánea, como Telegram, WhastApp IMO, el navegador web Chrome y algunas otras aplicaciones, y permite que el malware robe las bases de datos internas de las aplicaciones atacadas. Por ejemplo, mediante el navegador web esto significaría que las credenciales almacenadas en otros sitios web podrían verse comprometidas como resultado del ataque.

Sobre la base de los resultados del análisis, los actores que están detrás intentan acceder a información de usuarios privados en Egipto, Jordania, Marruecos, Líbano e Irán. Además, según los temas de las noticias utilizadas para atraer a las víctimas y que se instalaran el malware, los partidarios de la causa kurda y los miembros de la Agencia de Naciones Unidas para los Refugiados de Palestina en Oriente Próximo (UNRWA) situada en Amman se encuentran también entre las posibles víctimas del malware ZooPark.

“Son cada vez más las personas que utilizan sus dispositivos móviles como el dispositivo principal de comunicación y, a veces, hasta el único. Y esto lo saben los actores apadrinados por los estado-nación, que están construyendo sus juegos de herramientas para que sean lo suficientemente eficaces como para rastrear a los usuarios de dispositivos móviles. La APT ZooPark, al espiar activamente a sus objetivos en Oriente Próximo, es un buen ejemplo, pero no el único”, dice Alexey Firsh, experto en seguridad de Kaspersky Lab,

Los analistas de Kaspersky Lab pudieron identificar al menos cuatro generaciones de malware de espionaje relacionado con la familia ZooPark, activa desde 2015. Los productos de Kaspersky Lab detienen y loquean con éxito esta amenaza.

 

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s