Кибершпионская компании ZooPark...
Исследователи наблюдают за развитием этого вредоноса с 2015 года. Его текущая версия уже является четвертой и может похитить с зараженного смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры.
ZooPark способен собирать и передавать своим хозяевам следующую информацию:
контакты;
информация об аккаунтах пользователя;
история звонков;
аудиозаписи звонков;
содержание SMS-сообщений;
закладки и история браузера;
тстория поиска в браузере;
местонахождение устройства;
информация об устройстве;
информация об установленных приложениях;
любые файлы с карты памяти;
документы с устройства;
данные, вводимые с экранной клавиатуры;
данные из буфера обмена;
данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).
контакты;
информация об аккаунтах пользователя;
история звонков;
аудиозаписи звонков;
содержание SMS-сообщений;
закладки и история браузера;
тстория поиска в браузере;
местонахождение устройства;
информация об устройстве;
информация об установленных приложениях;
любые файлы с карты памяти;
документы с устройства;
данные, вводимые с экранной клавиатуры;
данные из буфера обмена;
данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).
Evolution of ZooPark malware features
Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее свои операторам. При этом ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Так, жертвами злоумышленников становятся те, кто интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран.
Способов распространения у ZooPark два: через Telegram-каналы и с помощью drive-by атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана. Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-то полезным, к примеру, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях троян прикидывался универсальным мессенджером «все в одном».
Спустя неделю после публикации данного отчета, в редакцию издания Vice Motherboard обратился неизвестный хакер, который утверждает, что ему далось взломать один из серверов операторов ZooPark в Тегеране. «10 минут усилий; сведения об иранской APT», — пишет аноним. Стоит отметить, что в своем отчете эксперты «Лаборатории Касперского» предполагали, что за ZooPark, скорее всего, стоят так называемые «правительственные хакеры», однако не делали каких-либо конкретных выводов относительно их страны.
Журналисты признают, что переданная хакером информация была небезынтересной. Неизвестный сумел раздобыть текстовые сообщения, электронные письма и GPS-координаты извлеченные с устройств, зараженных ZooPark, и даже записи аудиозвонков пострадавших пользователей.
Источник: http://www.comss.info
