ZooPark: phần mềm gián điệp nhắm vào tổ chức chính trị Trung Đông

Chia sẻ
Nhóm gián điệp mạng tinh vi mang tên ZooPark, nhắm tới người dùng Android ở các nước Trung Đông, phần lớn ở Iran trong nhiều năm qua.

ZooPark: phần mềm gián điệp nhắm vào tổ chức chính trị Trung Đông ảnh 1

Sử dụng các trang web hợp pháp như một công cụ lây nhiễm, có vẻ chiến dịch này được chính phủ hậu thuẫn và nhắm đến các tổ chức chính trị cũng như nhiều mục tiêu khác trong khu vực này. 

Khi trao đổi dữ liệu về các mối đe dọa, các nhà nghiên cứu tại Kaspersky Lab đã nhận được một dữ liệu tương đồng với một mẫu phần mềm độc hại trên Android. Thoạt đầu, mọi thứ đều rất bình thường vì nó chỉ là một công cụ gián điệp đơn giản. Tuy nhiên, tên của nó lại không hề bình thường: Referendum Kurdistan.apk. Các nhà nghiên cứu đã quyết định đào sâu hơn và phát hiện một phiên bản khác của cùng một ứng dụng nhưng lại tinh vi hơn,
Một số ứng dụng độc hại đang được phát tán từ các trang web tin tức và chính trị phổ biến tại khu vực Trung Đông giả mạo là ứng dụng hợp pháp như ‘TelegramGroups’ và ‘Alnaharegypt news’ đã được phát hiện có liên quan đến một số quốc gia Trung Đông. Sau khi lây nhiễm thành công, phần mềm độc hại cung cấp cho kẻ tấn công các khả năng sau: Đánh cắp thông tin: Danh bạ, Thông tin tài khoản, Thông tin cuộc gọi và ghi âm cuộc gọi, Hình ảnh lưu trên thẻ nhớ thiết bị, Định vị GPS, Tin nhắn , Các ứng dụng đã cài đặt, thông tin trình duyệt, Thao tác bàn phím và dữ liệu khay nhớ tạm và chức năng backdoor: bí mật gửi tin nhắn và thực hiện cuộc gọi, thực hiện lệnh Shell.

ZooPark: phần mềm gián điệp nhắm vào tổ chức chính trị Trung Đông ảnh 2

Một chức năng độc hại khác nhắm vào các ứng dụng nhắn tin như Telegram, WhatsApp IMO; trình duyệt web (Chrome) và một số ứng dụng khác. Nó cho phép phần mềm độc hại đánh cắp các cơ sở dữ liệu của các ứng dụng bị tấn công. Ví dụ: với trình duyệt web, thông tin người dùng lưu trên các trang web khác cũng có thể bị đánh cắp. 
Dựa trên kết quả điều tra, kẻ đứng sau các phần mềm độc hại này nhắm vào người dùng cá nhân tại Ai Cập, Jordan, Morocco, Lebanon và Iran. Hơn nữa, dựa vào tin tức mà những kẻ tấn công dùng để dụ dỗ nạn nhân cài đặt phần mềm độc hại, những người ủng hộ người Kurd và các thành viên của Cơ quan Cứu trợ và Hoạt động của Liên hợp quốc tại Amman nằm trong số những nạn nhân tiềm năng của ZooPark.

Các nhà nghiên cứu đã phát hiện ít nhất 4 thế hệ của phần mềm gián điệp ZooPark hoạt động từ năm 2015. Hiện tại vẫn chưa chắc chắn được kẻ đứng sau ZooPark là ai nhưng dựa trên những thông tin được công bố thì dữ liệu hệ thống C&C của ZooPark được phát hiện tại Iran. 

Tìm hiểu thêm về ZooPark tại Securelist.com. 

Gia Phạm

Tin liên quan

Chia sẻ

Bạn đọc bình luận

Vui lòng nhập tiếng Việt có dấu
Nhập mã bảo mật (*)    Refresh

Cùng chuyên mục