卡巴斯基實驗室研究人員發現了一種被稱為ZooPark的複雜網絡間諜攻擊行動,多年以來一直對位於中東地區多個國家的安卓設備用戶進行攻擊。這些攻擊行動似乎是針對該地區政治組織、激進主義者和其他目標的得到政府支持的攻擊行動。
最近,卡巴斯基實驗室研究人員收到了一些看上去似乎是未知安卓惡意軟體的樣本。初看上去,這種惡意軟體似乎並不嚴重:技術上很簡單,只是一個簡單直接的網絡間諜工具。研究人員決定對其進行進一步分析,很快發現了一個更新的同時更為複雜的版本。他們決定將其命名為ZooPark。
有些惡意ZooPark應用是通過中東特定地區的新聞和政治網站進行傳播的。這些惡意軟體偽裝成合法應用,名稱為「電報群」和「Alnaharegypt新聞」等,看上去與某些中東國家相關。成功感染後,惡意軟體會為攻擊者提供以下功能:
信息竊取功能:
·聯繫人
·帳戶數據
·來電記錄和通過音頻錄音
·存儲在設備存儲卡上的圖片
· GPS未知
·簡訊
·安裝的應用程式詳情,瀏覽器數據
·鍵盤輸入記錄以及剪貼板數據
後門功能:
·悄悄發送簡訊
·悄悄撥打電話
·執行shell命令
該惡意軟體還有一個額外的惡意功能,針對即時通訊應用如Telegram、WhatsApp和IMO以及網頁瀏覽器(chrome)和一些其他應用進行攻擊。該功能可以讓惡意軟體竊取被攻擊應用的內部資料庫。例如,使用網絡瀏覽器時,這意味著存儲的其他網站的憑證可能因攻擊而被盜。
調查顯示,攻擊者的攻擊重點為位於埃及、約旦、摩洛哥、黎巴嫩和伊朗的用戶。根據攻擊者吸引受害者安裝惡意軟體所使用的新聞話題,聯合國救濟和工程局的成員也是ZooPark惡意軟體可能的攻擊目標。
「越來越多的人將行動裝置作為自己首要的,甚至是唯一的通訊設備。這一點當然會被得到政府支持的攻擊者注意到,他們正在打造自己的工具集,以便能夠高效地追蹤行動裝置用戶。對中東地區國家用戶進行間諜攻擊行動的ZooPark高級可持續性威脅就是這樣一個例子,而且很顯然不會是唯一一個,」卡巴斯基實驗室最年輕專家Alexey Firsh說。
總體上,卡巴斯基實驗室研究人員發現同ZooPark家族有關的網絡間諜惡意軟體至少有四代,該惡意軟體至少從2015年就開始活躍。
卡巴斯基實驗室產品能夠成功檢測和攔截這種威脅。
要了解更多有關ZooPark高級可持續性威脅的詳情,請訪問Securelist.com