ZooPark, un nuevo actor de ciberespionaje Android, a la caza de objetivos políticos de Próximo Oriente

Analistas de Kaspersky Lab descubren ZooPark, una sofisticada campaña de ciberespionaje dirigida desde hace varios años contra usuarios de dispositivos Android ubicados en países de Oriente Próximo, principalmente Egipto, Jordania, Marruecos, Líbano e Irán

En un intercambio de información sobre amenazas, los analistas de Kaspersky Lab recibieron algo que parecía ser una muestra desconocida de malware Android. A primera vista, el malware no parecía ser nada serio, sino una herramienta de ciberespionaje técnicamente muy simple y directa. Sin embargo, el nombre del archivo no era habitual: Refrendum Kusdistan.apk. Los analistas decidieron investigar más a fondo y descubrieron una versión mucho más reciente y sofisticada de la misma app.

Algunas de las aplicaciones maliciosas se distribuyen desde sitios web de noticias y política muy populares desde Oriente Próximo, disfrazados de aplicaciones legítimas con nombres como ‘TelegramGroups’ y ‘Alnaharegypt news’ entre otros, muy reconocidas y relevantes para algunos países de Oriente Próximo. Tras conseguir infectar, el malware proporciona al ciberdelincuente las siguientes capacidades:

Exfiltración

• Contactos
• Datos de la cuenta
• Registro de llamadas y grabaciones de audio de las llamadas
• Fotografías almacenadas en la tarjeta SD del dispositivo
• Localización GPS
• Mensajes SMS
• Detalles de la aplicación instalada, datos del navegador
• Keylogs y datos del portapapeles
• Etc.

Funcionalidad backdoor:

• Envío silencioso de mensajes SMS
• Realización silenciosa de llamadas
• Ejecución de comandos de Shell

Sobre la base de los resultados del análisis, los actores que están detrás intentan acceder a información de usuarios privados en Egipto, Jordania, Marruecos, Líbano e Irán.

Una función maliciosa adicional apunta a las aplicaciones de mensajería instantánea, como Telegram, WhastApp IMO, el navegador web Chrome y algunas otras aplicaciones, y permite que el malware robe las bases de datos internas de las aplicaciones atacadas. Por ejemplo, mediante el navegador web esto significaría que las credenciales almacenadas en otros sitios web podrían verse comprometidas como resultado del ataque.

Sobre la base de los resultados del análisis, los actores que están detrás intentan acceder a información de usuarios privados en Egipto, Jordania, Marruecos, Líbano e Irán. Además, según los temas de las noticias utilizadas para atraer a las víctimas y que se instalaran el malware, los partidarios de la causa kurda y los miembros de la Agencia de Naciones Unidas para los Refugiados de Palestina en Oriente Próximo (UNRWA) situada en Amman se encuentran también entre las posibles víctimas del malware ZooPark.

“Son cada vez más las personas que utilizan sus dispositivos móviles como el dispositivo principal de comunicación y, a veces, hasta el único. Y esto lo saben los actores apadrinados por los estado-nación, que están construyendo sus juegos de herramientas para que sean lo suficientemente eficaces como para rastrear a los usuarios de dispositivos móviles. La APT ZooPark, al espiar activamente a sus objetivos en Oriente Próximo, es un buen ejemplo, pero no el único”, dice Alexey Firsh, experto en seguridad de Kaspersky Lab.

Los analistas de Kaspersky Lab pudieron identificar al menos cuatro generaciones de malware de espionaje relacionado con la familia ZooPark, activa desde 2015. Los productos de Kaspersky Lab detienen y loquean con éxito esta amenaza.

Más información sobre la amenaza persistente avanzada ZooPark en Securelist.com