محققان لابراتوار کسپرسکی به تازگی ZooPark، یک کمپین جاسوسی سایبری را کشف کرده اند که چندین سال است دستگاه های اندرویدی کاربران را در خاورمیانه مورد هدف قرار می دهد.
اخیرا محققان امنیتی کسپرسکی موردی را یافته اند که ظاهرا نمونه ای از بدافزار ناشناخته ی اندروید است. در نگاه اول این بدافزار مورد جدی نبود: یک ابزار ساده و صریح برای جاسوسی سایبری! اما محققان تصمیم گرفتند که این نمونه را بیشتر بررسی کنند و پس از اندکی متوجه یک نسخه ی جدید و بسیار پیچیده از همان برنامه شدند. آن ها تصمیم گرفتند این بدافزار پیچیده را ZooPark بنامند. عملیات این بدافزار چهار مرحله داشته است و در طول سه سال گذشته ( از سال 2015 ) همواره از راه های پیچیده تری برای جاسوسی از کاربران استفاده کرده است. ما این بدافزار را به 4 سطح از 1 تا 4 علامت گذاری کرده ایم که سطح چهارم آن در سال 2017 گسترش یافت. از لحاظ فنی تکامل بدافزار ZooPark پیشرفت چشمگیری داشته است: در سطح اول این بدافزار که در سال 2015 رویت شده بود تنها به جاسوسی از شماره تلفن ها و حساب های قربانیان می پرداخت. سطح دوم این بدافزار در سال 2016 مشاهده شد که اطلاعات حساسی چون تماس ها، اسم ام اس ها، اطلاعات دستگاه و موقعیت مکانی قربانی به سرقت می برد. در سطح سوم حمله توسط بدافزار که در سال جاری کشف شد ضبط مکالمات، جزییات برنامه های نصب شده، اطلاعات مرورگر و عکس های ذخیره شده در SD card ، به قابلیت های این بدافزار جاسوس اضافه شد. اما آخرین سطح که مربوط به سال 2017 است اختیارات این بدافزار بیشتر شد و توانست به اپلیکشن های پرطرفدار دسترسی و عملیات اسکرین شات، فیلمبرداری و غیره را انجام دهد.
برخی از برنامه های مخرب ZooPark از طریق وب سایت های خبری و سیاسی در بخش های خاص خاورمیانه توزیع می شدند. آن ها به عنوان برنامه های مشروع با اسامی مانند “TelegramGroups” و Alnaharegypt news در برخی کشورهای خاورمیانه به رسمیت شناخته شدند.
پس از آلودگی موفقیت آمیز ، بدافزار دسترسی به موارد زیر را برای مهاجم فراهم میساخت:
دسترسی به:
مخاطبین
اطلاعات حساب
تماس ها و ضبط تماس ها
تصاویر ذخیره شده بر روی SD card دستگاه
موقعیت GPS
پیام های اس ام اس
جزئیات برنامه های نصب شده، داده های مرورگر
داده های Keylog و کلیپ بورد
قابلیت درب پشتی (Back door) این بدافزار عبارتند از:
ارسال بی صدای اس ام اس
ایجاد تماس بی صدا
اجرای دستورات شِل
یک تابع مخرب اضافی در این بدافزار برنامه های پیام رسان فوری همانند تلگرام، واتس اّپ، ایمو و همچنین مرورگر وب (کروم) و سایر برنامه های کاربردی را مورد هدف قرار می دهد. این تابع به بدافزار اجازه می دهد تا از دیتابیس داخلی اپلیکیشن های مورد حمله قرار داده شده سرقت کند.
تحقیقات نشان می دهد که مهاجمان در حال تمرکز بر روی کاربران کشورهای مصر، اردن، مراکش، لبنان و ایران هستند. طبق اخبار مطرح شده، اعضای سازمان ملل متحد و آژانس های کاری یکی از اهداف احتمالی بدافزار ZooPark هستند.
در کل محققان کسپرسکی توانستند حداقل چهارنسل از بدافزار جاسوسی مربوط به خانواده ی ZooPark را که حداقل از سال 2015 فعال بوده اند، را شناسایی کنند. محصولات لابراتوار کسپرسکی توانستند با موفقیت این تهدید را شناسایی و سپس آن را مسدود کنند.
منبع :https://www.bleepingcomputer.com
