Les chercheurs de Kaspersky Lab viennent de découvrir ZooPark, une campagne élaborée de cyberespionnage, qui cible depuis plusieurs années les utilisateurs d’appareils Android dans divers pays du Moyen-Orient. Se servant de sites web légitimes comme sources d’infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d’autres cibles dans la région.
Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d’actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d’applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news », entre autres, bien connus dans des pays de la région. Une fois l’infection réussie, le malware offre à l’auteur de l’attaque les capacités suivantes :
Exfiltration des données :
- Contacts
- Identifiants de comptes
- Journaux et enregistrements audio des appels
- Photos stockées sur la carte SD de l’appareil
- Localisation GPS
- SMS
- Détails des applications installées, données du navigateur
- Enregistrement des frappes clavier et contenu du presse-papiers…
Fonction de backdoor :
- Envoi silencieux de SMS
- Composition silencieuse de numéros de téléphone
- Exécution de commandes shell
Une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s’agit des identifiants enregistrés pour d’autres sites web, susceptibles d’être infectés à la suite de l’attaque.
Les investigations laissent penser que les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. En fonction des thèmes d’actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l’Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark.
« Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n’est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n’est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab.
Au total, les chercheurs de Kaspersky Lab ont pu identifier au moins quatre générations du malware espion lié à la famille ZooPark, laquelle est active depuis 2015 au minimum.
Communiqué