Utilizando sitios legítimos como fuente de infección, la campaña parece estar respaldada por un Estado y dirigida contra organizaciones políticas y otros objetivos
- Analistas de Kaspersky Lab descubren ZooPark, una sofisticada campaña de ciberespionaje dirigida desde hace varios años contra usuarios de dispositivos Android ubicados en países de Oriente Próximo, principalmente Egipto, Jordania, Marruecos, Líbano e Irán
En un intercambio de información sobre amenazas, los analistas de Kaspersky Lab recibieron algo que parecía ser una muestra desconocida de malware Android. A primera vista, el malware no parecía ser nada serio, sino una herramienta de ciberespionaje técnicamente muy simple y directa. Sin embargo, el nombre del archivo no era habitual: Refrendum Kusdistan.apk. Los analistas decidieron investigar más a fondo y descubrieron una versión mucho más reciente y sofisticada de la misma app.
Algunas de las aplicaciones maliciosas se distribuyen desde sitios web de noticias y política muy populares desde Oriente Próximo, disfrazados de aplicaciones legítimas con nombres como “TelegramGroups” y “Alnaharegypt news” entre otros, muy reconocidas y relevantes para algunos países de Oriente Próximo. Tras conseguir infectar, el malware proporciona al ciberdelincuente las siguientes capacidades:
Exfiltración
- Contactos
- Datos de la cuenta
- Registro de llamadas y grabaciones de audio de las llamadas
- Fotografías almacenadas en la tarjeta SD del dispositivo
- Localización GPS
- Mensajes SMS
- Detalles de la aplicación instalada, datos del navegador
- Keylogs y datos del portapapeles
- Etc.
Funcionalidad backdoor:
- Envío silencioso de mensajes SMS
- Realización silenciosa de llamadas
- Ejecución de comandos de Shell
Una función maliciosa adicional apunta a las aplicaciones de mensajería instantánea, como Telegram, WhastApp IMO, el navegador web Chrome y algunas otras aplicaciones, y permite que el malware robe las bases de datos internas de las aplicaciones atacadas. Por ejemplo, mediante el navegador web esto significaría que las credenciales almacenadas en otros sitios web podrían verse comprometidas como resultado del ataque.
Sobre la base de los resultados del análisis, los actores que están detrás intentan acceder a información de usuarios privados en Egipto, Jordania, Marruecos, Líbano e Irán. Además, según los temas de las noticias utilizadas para atraer a las víctimas y que se instalaran el malware, los partidarios de la causa kurda y los miembros de la Agencia de Naciones Unidas para los Refugiados de Palestina en Oriente Próximo (UNRWA) situada en Amman se encuentran también entre las posibles víctimas del malware ZooPark.
“Son cada vez más las personas que utilizan sus dispositivos móviles como el dispositivo principal de comunicación y, a veces, hasta el único. Y esto lo saben los actores apadrinados por los estado-nación, que están construyendo sus juegos de herramientas para que sean lo suficientemente eficaces como para rastrear a los usuarios de dispositivos móviles. La APT ZooPark, al espiar activamente a sus objetivos en Oriente Próximo, es un buen ejemplo, pero no el único”, dice Alexey Firsh, experto en seguridad de Kaspersky Lab,
Los analistas de Kaspersky Lab pudieron identificar al menos cuatro generaciones de malware de espionaje relacionado con la familia ZooPark, activa desde 2015. Los productos de Kaspersky Lab detienen y loquean con éxito esta amenaza.
Lee más sobre la amenaza persistente avanzada ZooPark en Securelist.com
Sobre Kaspersky Lab
Kaspersky Lab es una empresa de ciberseguridad que celebra su 20 aniversario en 2017.El profundo conocimiento de las amenazas y la experiencia en seguridad de Kaspersky Lab se está continuamente transformando en soluciones de seguridad y servicios para proteger a empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portfolio de seguridad incluye su reputada solución de protección de dispositivos finales junto con un número de soluciones de seguridad y servicios para combatir sofisticadas amenazas digitales en constante evolución. Más de 400 millones de usuarios son protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Más información enwww.kaspersky.es
Síguenos en:
Para más información, contactar con:
eVerythink PR
Virginia Frutos
Tel. +34 91 551 98 91
Mov: 670 502 902
Email: virginia.frutos@everythinkpr.com
Kaspersky Lab Iberia
Vanessa González
Directora de Comunicación
Tel. +34 91 398 37 52
Email: vanessa.gonzalez@kaspersky.es
© La información contenida en la presente puede ser modificada sin previo aviso. Las únicas garantías de los productos y servicios de Kaspersky Lab quedan establecidos de ahora en adelante en las declaraciones de garantía expresa que acompañan a dichos productos y servicios. Ninguno de los contenidos de la presente podrá ser interpretado como garantía adicional. Kaspersky Lab no se hace responsable de los errores técnicos o editoriales u omisiones presentes en el texto.
