卡巴斯基实验室研究人员发现了一种被称为ZooPark的复杂网络间谍攻击行动,多年以来一直对位于中东地区多个国家的安卓设备用户进行攻击。这些攻击行动似乎是针对该地区政治组织、激进主义者和其他目标的得到政府支持的攻击行动。
最近,卡巴斯基实验室研究人员收到了一些看上去似乎是未知安卓恶意软件的样本。初看上去,这种恶意软件似乎并不严重:技术上很简单,只是一个简单直接的网络间谍工具。研究人员决定对其进行进一步分析,很快发现了一个更新的同时更为复杂的版本。他们决定将其命名为ZooPark。
有些恶意ZooPark应用是通过中东特定地区的新闻和政治网站进行传播的。这些恶意软件伪装成合法应用,名称为“电报群”和“Alnaharegypt新闻”等,看上去与某些中东国家相关。成功感染后,恶意软件会为攻击者提供以下功能:
信息窃取功能:
·联系人
·账户数据
·来电记录和通过音频录音
·存储在设备存储卡上的图片
· GPS未知
·短信
·安装的应用程序详情,浏览器数据
·键盘输入记录以及剪贴板数据
后门功能:
·悄悄发送短信
·悄悄拨打电话
·执行shell命令
该恶意软件还有一个额外的恶意功能,针对即时通讯应用如Telegram、WhatsApp和IMO以及网页浏览器(chrome)和一些其他应用进行攻击。该功能可以让恶意软件窃取被攻击应用的内部数据库。例如,使用网络浏览器时,这意味着存储的其他网站的凭证可能因攻击而被盗。
调查显示,攻击者的攻击重点为位于埃及、约旦、摩洛哥、黎巴嫩和伊朗的用户。根据攻击者吸引受害者安装恶意软件所使用的新闻话题,联合国救济和工程局的成员也是ZooPark恶意软件可能的攻击目标。
“越来越多的人将移动设备作为自己首要的,甚至是唯一的通讯设备。这一点当然会被得到政府支持的攻击者注意到,他们正在打造自己的工具集,以便能够高效地追踪移动设备用户。对中东地区国家用户进行间谍攻击行动的ZooPark高级可持续性威胁就是这样一个例子,而且很显然不会是唯一一个,”卡巴斯基实验室最年轻专家Alexey Firsh说。
总体上,卡巴斯基实验室研究人员发现同ZooPark家族有关的网络间谍恶意软件至少有四代,该恶意软件至少从2015年就开始活跃。
卡巴斯基实验室产品能够成功检测和拦截这种威胁。