„Kaspersky Lab“ tyrėjai atrado „ZooPark“ – sudėtingą kibernetinio šnipinėjimo kampaniją, kuri keletą metų buvo nukreipta prieš „Android“ įrenginių vartotojus keliose Vidurio Rytų šalyse. Naudodama teisėtus tinklalapius kaip infekcijos šaltinius, atrodo, kad kampanija yra skirta politinėms organizacijoms, aktyvistams ir kitiems regioniniams tikslams.
Neseniai „Kaspersky Lab“ tyrėjai aptiko kažką, kas atrodė kaip nauja kenkėjiška „Android“ programa. Iš pirmo žvilgsnio, kenkėjiška programa nepasirodė itin rimta: techniškai labai paprastas ir tiesiogiai veikiantis kibernetinio šnipinėjimo įrankis.
Ekspertai nusprendė toliau tęsti tyrimą ir netrukus atrado kur kas naujesnę ir sudėtingesnę tos pačios programos versiją. Jie nusprendė pavadinti ją „ZooPark“.
Kai kurios piktybiškos „ZooPark“ programėlės platinamos iš naujienų ir politinių svetainių, populiarių konkrečiose Artimųjų Rytų regionuose. Jos pasislėpusios kaip teisėtos programos su tokiais pavadinimais, kaip: „TelegramGroups“ ar „Alnaharegypt news“. O šios programos, be kita ko, yra žinomos ir aktualios kai kuriose Artimųjų Rytų šalyse. Po sėkmingos atakos kenkėjiška programa nusikaltėliams suteikia šias galimybes:
Prieigą prie:
- Kontaktų
- Paskyros duomenų
- Skambučių ir pokalbių įrašymo
- Nuotraukų saugomų SD kortelėje ir įrenginyje
- GPS nustatymo
- SMS žinučių
- Įdiegtų programų ir naršyklių duomenų
- Duomenų saugyklų
„Backdoor“ funkcijas:
- Slapta siųsti SMS
- Slapti atlikti skambučius
- „Shell“ komandų vykdymas
Papildoma kenksminga funkcija atakuoja momentinių pranešimų programoms, pvz., „Telegram“, „WhatsApp IMO“; žiniatinklio naršyklę („Chrome“) ir kai kurias kitas programas. Tai leidžia kenkėjiškai programinei įrangai pavogti kitų programų vidines duomenų bazes. Pavyzdžiui, naudojant žiniatinklio naršyklę tai reikštų, kad saugomi kitų tinklalapių kredencialai dėl atakos gali būti pažeisti. Tyrimas rodo, kad užpuolikai daugiausia dėmesio skiria vartotojams, gyvenantiems Egipte, Jordanijoje, Maroke, Libane ir Irane. Remiantis naujienų temomis, kurias atakuojantys asmenys panaudojo kenkėjiškoms programoms įdiegti, Jungtinių Tautų paramos ir darbo agentūros nariai yra vieni iš galimų „ZooPark“ kenkėjiškos programos taikinių.
„Vis daugiau žmonių savo mobiliuosius įrenginius naudoja kaip pagrindinę ar kartais net vienintelę ryšio priemonę. Ir tai aiškiai pastebi politinių atakų rengėjai, kurie savo įrankių rinkinius kuria taip, kad šie būtų pakankamai veiksmingi, jog galėtų stebėti mobiliųjų vartotojus. „ZooPark APT“, aktyviai šnipinėjantis Artimųjų Rytų šalyse, yra vienas iš tokių pavyzdžių, tačiau jis tikrai nėra vienintelis“, – sako Alexey Firsh, „Kaspersky Lab“ saugumo ekspertas.
Iš viso „Kaspersky Lab“ tyrėjai nustatė mažiausiai keturias šnipinėjimo programų kartas, susijusias su „ZooPark“ virusų šeima, kuri veikia jau nuo 2015 m. „Kaspersky Lab“ produktai sėkmingai aptinka ir blokuoja šią grėsmę.
