Nova campanha de malware disseminada em sites legítimos

Recentemente, investigadores da Kaspersky Lab receberam o que aparentava ser uma amostra de um malware desconhecido para Android. À primeira vista, o malware não parecia perigoso, mas apenas uma ferramenta simples e direta de ciberespionagem. Os investigadores decidiram investigar mais a fundo e depressa descobriram uma versão mais recente e sofisticada da mesma ameaça, a que chamaram ZooPark.

Algumas das aplicações maliciosas do ZooPark estão a ser distribuídas a partir de websites políticos e de notícias, populares em localizações específicas do Médio Oriente. Aparentam ser aplicações legítimas, com nomes de entidades reconhecidas e relevantes nos países alvo, como “TelegramGroups” ou “Alnaharegypt news”, entre outros.

Após a infeção, o malware permite aos hackers extrair Contactos, Informações da conta, Registo de chamadas e gravações áudio das mesmas, Imagens armazenadas nos cartões de memória dos dispositivos, Localização através do GPS, Mensagens de texto, Detalhes das aplicações instaladas e dados de pesquisa, Keylogs e dados de clipboard.

Uma função maliciosa adicional destina-se a aplicações de mensagens instantâneas, como o Telegram, WhatsApp IMO ou o motor de busca Chrome, entre outras aplicações. Esta funcionalidade permite ao malware atacar as bases de dados internas das aplicações, o que significa que, no caso do Chrome, as credenciais e os dados de autentificação de outros sites nele armazenados poderão ser comprometidos em resultado do ataque.

A investigação sugere que os hackers estão focados em utilizadores do Egipto, Jordânia, Marrocos, Líbano e Irão. Tendo em conta os temas utilizados para atrair as suas vítimas e as levarem a instalar o malware, os membros da Agência das Nações Unidas de Assistência aos Refugiados estão entre os possíveis alvos do malware ZooPark.