ZooPark: Malware-Verbreitung über legitime Websites

Neue „Android“-basierte Cyber-Spionagekampagne im Nahen Osten gemeldet

[datensicherheit.de, 03.05.2018] KASPERSKY lab hat nach eigenen Angaben eine hochkomplexe Cyber-Spionagekampagne entdeckt, die demnach seit mindestens 2015 „Android“-Nutzer im Nahen Osten angreift: „ZooPark“ könne sowohl auf dem Smartphone gespeicherte Daten auslesen als auch Backdoor-Funktionen nutzen. Für die Verbreitung würden legitime und populäre Websites aus dem Nahen Osten genutzt.

Vier Generationen der „ZooPark“-Familie gefunden

Eigene Experten von KASPERSKY lab hätten Zugriff auf das Sample einer offenbar noch unbekannten „Android“-Malware erhalten, welche zunächst ein „technisch sehr einfach gestricktes“ Cyber-Spionage-Tool zu sein schien.
Bei weiteren Untersuchungen sei jedoch eine aktuelle und hochentwickelte Version entdeckt worden, insgesamt habe man vier Generationen der „ZooPark“-Familie gefunden.

Verbreitung über populäre Nachrichten- und Politik-Websites

Einige der schädlichen Apps seien über populäre Nachrichten- und Politik-Websites in der Region verbreitet worden. Sie tarnten sich unter anderem als legitime Apps mit Namen wie „TelegramGroups“ oder „Alnaharegypt news“.
Nach erfolgreicher Infektion könnten dann Angreifer unter anderem auf folgende Informationen zugreifen:

• Kontakte,
• Zugangsdaten,
• Anrufprotokolle und Audiomitschnitte von Gesprächen,
• auf der SD-Karte gespeicherte Bilddaten,
• GPS-Daten,
• SMS-Nachrichten,
• Details zu installierten Apps und Browserdaten,
• Keylogs und Clipboard-Daten.

Malware mit Backdoor-Funktionalitäten

Darüber hinaus könne diese Malware über Backdoor-Funktionalitäten heimlich SMS-Nachrichten senden und Anrufe durchführen sowie Shell-Commands ausführen.
Eine weitere Funktion betreffe Messenger wie „Telegram“, „WhatsApp“, „IMO“, aber auch den „Chrome“-Browser und andere Anwendungen, bei der Informationen aus den App-internen Datenbanken abgegriffen werden. Im Fall des Browsers könnten damit die gespeicherten Zugangsdaten zu anderen Websites gestohlen werden.

Private Nutzer im Nahen Osten im Visier

Immer mehr Menschen nutzten ihre mobilen Geräte als „bevorzugtes oder sogar einziges Kommunikationsmittel“, sagt Alexey Firsh, Sicherheitsexperte bei KASPERSKY lab: „Das haben sicher auch staatlich-unterstützte Akteure entdeckt, die ihre Toolsets so gestalten, dass sich damit mobile Nutzer effizient tracken lassen. Die Advanced Persistent Threat (APT) ,ZooPark‘, die aktiv Ziele im Nahen Osten ausspioniert, ist hierfür ein Beispiel – aber sicher nicht das einzige.“
Die Untersuchungsergebnisse zeigten, dass die Angreifer private Nutzer in Ägypten, Jordanien, Marokko, dem Libanon und Iran im Fokus hätten. Die Themen der Informationsseiten, die Opfer zur Installation der Malware verleiten sollen, ließen zudem vermuten, dass Mitglieder des Hilfswerks der Vereinten Nationen für Palästina-Flüchtlinge im Nahen Osten (UNRWA) zu den „ZooPark“-Opfern gehörten.

Weitere Informationen zum Thema:

SECURELIST, 03.05.2018
Who’s who in the Zoo / Cyberespionage operation targets Android users in the Middle East

datensicherheit.de, 16.03.2018
Jede vierte mobile Malware nutzt schlüpfrige Inhalte zur Verbreitung