Virusul malware de Android care trimite SMS-uri fără ştirea utilizatorilor

Publicat: 03.05.2018 17:11

Ultima actualizare: 04.08.2022 09:22

Cercetătorii Kaspersky au descoperit ZooPark, o campanie complexă de spionaj cibernetic, îndreptată timp de mai mulţi ani împotriva dispozitivelor Android. Folosind site-uri legitime ca sursă de infectare, campania pare să fie o operaţiune sprijinită la nivel statal, care vizează organizaţii politice, activişti şi alte ţinte din regiune.

Recent, cercetătorii Kaspersky Lab au primit ceva ce părea o mostră a unui malware necunoscut pentru Android. La prima vedere, malware-ul nu părea să fie ceva important: un instrument foarte simplu din punct de vedere tehnic, creat pentru spionaj cibernetic. Însă cercetătorii au decis să mai investigheze şi au descoperit în curând o versiune mult mai recentă şi complexă a aceleiaşi aplicaţii, pe care au denumit-o ZooPark.

Unele dintre aplicaţiile malware ZooPark sunt distribuite prin intermediul unor site-uri de ştiri generale şi politice, populare în anumite părţi din Orientul Mijlociu. Acestea sunt deghizate în aplicaţii legitime, cu nume ca „TelegramGroups” şi „Alnaharegypt news’, care sunt recunoscute şi relevante în câteva ţări din Orientul Mijlociu. În momentul unei infectări reuşite, programul malware îi permite atacatorului:

Să extragă date:

- Contacte

- Date despre cont

- Istoricul apelurilor şi înregistrarea acestora

- Fotografii localizate pe cardul SD al dispozitivului

- Localizare GPS

- SMS-uri

- Informaţii despre aplicaţiile instalate şi browser

- Informaţii tastate şi disponibile în „clipboard”

Să aibă funcţionalitate de backdoor:

- Trimite SMS-uri în secret

- Face apeluri în secret

- Execută comenzi shell

Vezi și:

Spionajul digital, tot mai întâlnit la cuplurile care se despart. În 70% din relaţii, informaţiile digitale se împărtăşesc reciproc

O funcţie malware suplimentară vizează aplicaţiile de mesagerie instant, precum Telegram şi WhatsApp, browser-ul web Chrome şi alte aplicaţii. Funcţia îi permite malware-ului să fure bazele de date interne ale aplicaţiilor atacate. De exemplu, raportat la browser-ul web, ar însemna că, în urma atacului, ar putea fi compromise datele de autentificare stocate pe alte site-uri.

Investigaţia sugerează că atacatorii se concentrează pe utilizatorii din Egipt, Iordania, Maroc, Liban şi Iran. Pe baza subiectelor de ştiri pe care atacatorii le-au folosit ca să îşi atragă victimele să instaleze malware-ul, se pare că printre posibilele ţinte ale ZooPark se află şi membri ai UNRWA (The United Nations Relief and Works Agency).

În total, cercetătorii au reuşit să identifice cel puţin patru generaţii de malware pentru spionaj, care au legătură cu familia ZooPark - activă cel puţin din 2015.