מעבדת קספרסקי חושפת את ZooPark – פעיל בעיקר באיראן

Google+ Pinterest LinkedIn Tumblr +

חוקרי מעבדת קספרסקי חושפים את ZooPark – קמפיין ריגול מתוחכם, שבמשך מספר שנים תקף משתמשי אנדרואיד במזרח התיכון, בעיקר באיראן. נראה כי הקמפיין, אשר התבסס על אתרים לגיטימיים כמקור להדבקת המשתמשים, פועל במימון מדינה והוא ממוקד בארגונים פוליטיים ומטרות אחרות באזור.

חוקרי מעבדת קספרסקי קיבלו לבדיקה דוגמית של קוד אנדרואיד בלתי מוכר. במבט ראשון נראה היה שהקוד הזדוני אינו רציני: כלי ריגול סייבר פשוט מאוד מבחינה טכנולוגית. עם זאת, שם הקובץ לא היה שגרתי בכלל: Kurdistan.apk. החוקרים החליטו לחקור לעומק, ובנקודה מסוימת גילו גרסה עדכנית ומתוחכמת בהרבה של אותה אפליקציה.

חלק מהאפליקציות הזדוניות של ZooPark מופצות דרך אתרי חדשות ופוליטיקה פופולאריים במזרח התיכון, כשהן מוסוות כאפליקציות לגיטימיות עם שמות כגון TelegramGroups ו- Alnahargypt. לאחר ביצוע הדבקה, מספק הקוד הזדוני לתוקף יכולות משמעותיות, לרבות חילוץ של אנשי קשר, נתוני חשבון, רישום שיחות והקלטות של שיחות, תמונות המאוחסנות על כרטיס ה-SD, מיקום GPS, הודעות SMS, פרטים של אפליקציות מותקנות ונתוני גלישה ולחיצות ונתוני מקלדת.

בנוסף, יש לקוד הזדוני מספר יכולות דלת אחורית, לרבות שליחה שקטה של SMS, ביצוע שקט של שיחות והפעלת פקודות shell. יכולת זדונית נוספת כוונה כנגד אפליקציות מסרים מידיים, כגון טלגרם, WhatsApp, IMO, דפדפן כרום ואפליקציות אחרות. היא מאפשרת לקוד הזדוני לגנוב את בסיסי הנתונים הפנימיים של האפליקציות המותקפות. עבור הדפדפן לדוגמא, המשמעות תהיה שהסיסמאות שהוא מאחסן עבור אתרים אחרים תהיינה בסכנת חשיפה.

על פי תוצאות החקירה, הגורמים שמאחורי הפעילות הזו נמצאים במצוד אחר משתמשים פרטיים במצרים, ירדן, מרוקו, לבנון ואיראן. בהתבסס על הנושאים החדשותיים שהתוקפים השתמשו כדי לפתות את הקורבנות להתקין את הקוד הזדוני, ניתן לזהות, בין היתר, קורבנות בקרב תומכים כורדים וחברים בסוכנות ה- Relief and Works של האו"ם אשר ממוקמת בעמאן.

 

"יותר ויותר אנשים משתמשים במכשירים הניידים שלהם כאמצעי תקשורת מרכזי ולעיתים אף יחיד. שחקנים במימון מדינה בהחלט שמו לב למגמה, והם בונים את מערך הכלים שלהם כך שיהיה יעיל כדי לעקוב אחר משתמשים ניידים. ה-ZooPark APT, אשר מבצע מעקב פעיל אחר מטרות במדינות במזרח התיכון, הוא דוגמא לכך, ולבטח הוא לא הדוגמה היחידה".

בסך הכל, חוקרי מעבדת קספרסקי הצליחו לזהות לפחות 4 דורות של קוד זדוני למטרות ריגול הקשור ב- ZooPark – קמפיין הפעיל מאז 2015 לפחות. לא ידוע בוודאות מי עומד מאחורי הקוד הזדוני ZooPark. עם זאת, בהתבסס על מידע זמין לציבור, חלק מתשתית הפיקוד והשליטה הקשור ב-ZooPark, רשום על שם משתמשים איראנים.וצרי מעבדת קספרסקי הצליחו לזהות ולחסום איום זה.

פרטים נוספים על איום ה- ZooPark ב- Securelist.com

שתף.

.