На прошлой неделе специалисты «Лаборатории Касперского» рассказали о запутанной кибершпионской кампании ZooPark, жертвами которой становятся пользователи Android из стран Ближнего Востока. Исследователи наблюдают за развитием этого вредоноса с 2015 года. Его текущая версия уже является четвертой и может похитить с зараженного смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры. ZooPark способен собирать и передавать своим хозяевам следующую информацию: контакты; информация об аккаунтах пользователя; история звонков; аудиозаписи звонков; содержание SMS-сообщений; закладки и история браузера; тстория поиска в браузере; местонахождение устройства; информация об устройстве; информация об установленных приложениях; любые файлы с карты памяти; документы с устройства; данные, вводимые с экранной клавиатуры; данные из буфера обмена; данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome). Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее свои операторам. При этом ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Так, жертвами злоумышленников становятся те, кто интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран. Способов распространения у ZooPark два: через Telegram-каналы и с помощью drive-by атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана. Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-то полезным, к примеру, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях троян прикидывался универсальным мессенджером «все в одном». Спустя неделю после публикации данного отчета, в редакцию издания Vice Motherboard обратился неизвестный хакер, который утверждает, что ему далось взломать один из серверов операторов ZooPark в Тегеране. «10 минут усилий; сведения об иранской APT», — пишет аноним. Стоит отметить, что в своем отчете эксперты «Лаборатории Касперского» предполагали, что за ZooPark, скорее всего, стоят так называемые «правительственные хакеры», однако не делали каких-либо конкретных выводов относительно их страны. Журналисты признают, что переданная хакером информация была небезынтересной. Неизвестный сумел раздобыть текстовые сообщения, электронные письма и GPS-координаты извлеченные с устройств, зараженных ZooPark, и даже записи аудиозвонков пострадавших пользователей. Фото: «Лаборатория Касперского» Источник новости - google.com