E’ stata scoperta una nuova sofisticata campagna di cyber spionaggio che colpisce da anni diversi dispositivi Android, pericolosa in quanto risulta progettata per rubare password, media (foto e video), screenshot e anche informazioni dalle app di social media quali Whatsapp, Telegram e altre ancora. La campagna è stata soprannominata "ZooPark" dai ricercatori di Kaspersky Lab che la hanno scoperta, secondo cui è mirata in particolare agli utenti di dispositivi Android che risiedono in Medio Oriente, in particolar modo in Egitto, Giordania, Marocco, Libano e Iran. Dietro la campagna risulta esserci stato uno stato-nazione con obiettivi potenziali organizzazioni politiche, attivisti e ad altri obiettivi basati nella regione.
Stando a quanto hanno riferito i ricercatori di Kaspersky Lab, le app dannose di ZooPark vengono diffuse da siti web famosi di notizie e politica in aree specifiche del Medio Oriente, mascherate da app legittime con nomi come "TelegramGroups" e "Alnaharegypt news" molto conosciute e rilevanti in quei territori.
Una volta che il malware è riuscito ad infettare il dispositivo Android, i cyber criminali possono rubare i contatti, dati dell’account, registri delle chiamate e registrazioni audio delle chiamate, immagini salvate sulla memoria esterna (scheda SD) del dispositivo, la posizione GPS, messaggi SMS, dettagli delle app installate, dati del browser (Chrome o altro), Keylogs e dati della clipboard, e altro ancora. Inoltre, i malintenzionati possono introdurre funzionalità backdoor per l’invio nascosto di SMS, effettuare chiamate in modo nascosto ed eseguire comandi shell.
Fa parte della stessa campagna "ZooPark" anche una funzione dannosa che colpisce in particolare le app di messaggistica istantanea, tra cui Telegram e IMO di WhatsApp, il browser web Chrome e altre app, consentendo ai malintenzionati di rubare i database delle app attaccate. Ad esempio, se viene infettato il browser web il malware comprometterebbe le password salvate in locale (quindi sulla memoria del dispositivo) e relative ai vari siti web utilizzati dall’utente.
Stando alle notizie che gli aggressori hanno usato per attirare le vittime e indurle ad installare il malware, i ricercatori di Kaspersky Lab hanno trovato che ZooPark ha avuto tra i possibili obiettivi i membri della United Nations Relief and Works Agency.
Infine, gli esperti hanno riferito di essere riusciti ad identificare, in tutto, almeno quattro generazioni del malware di spionaggio relativo alla famiglia ZooPark, attiva già dal 2015. L’ultima versione, in particolare, "potrebbe essere stata acquistata da fornitori di strumenti di sorveglianza", dicono gli esperti, secondo cui questo "non sarebbe sorprendente, dato che il mercato di quegli strumenti di spionaggio sta crescendo, diventando popolare tra i governi, con diversi casi noti in Medio Oriente" ha commentato Kaspersky.
Come proteggersi? Le regole sono sempre le stesse: diffidare dalle mail che invitano a ‘cliccare qui’ per aggiornare dati della carta di credito o scaricare file allegati nei messaggi di posta elettronica.