Kaspersky Lab araştırmacıları, ZooPark adlı gelişmiş bir siber casusluk saldırısını keşfetti. ZooPark son birkaç yılda birçok Ortadoğu ülkesinde Android kullanıcılarını hedef alıyordu. Saldırılarda kurbanlara erişmek için yasal websiteleri kullanılıyor. Bir ülke tarafından desteklendiği düşünülen saldırılar bölgedeki siyasi kurumlara, aktivistlere ve diğer hedeflere yönelik gerçekleştiriliyor.
Son zamanlarda, Kaspersky Lab araştırmacıları bilinmeyen bir Android zararlı yazılımı gibi görünen bir zararlı yazılım keşfetti. İlk bakışta ciddi bir tehdit gibi görünmeyen zararlı yazılım, teknik açıdan son derece basit bir siber casusluk aracı olarak tanımlandı. Araştırmacılar daha detaylı bir inceleme yapmaya karar verdiler ve kısa sürede bir noktada aynı uygulamanın çok daha güncel ve gelişmiş bir sürümünü buldular. Bunu ZooPark olarak adlandırmaya karar verdiler.
Bazı ZooPark zararlı uygulamaları Ortadoğu’nun belirli bölgelerinde popüler olan haber ve siyaset içerikli sitelerden dağıtılıyor. Bu uygulamalar, Ortadoğu ülkelerinde tanınan ‘TelegramGroups’ ve ‘Alnaharegypt’ gibi yasal uygulamaların adlarını kullanıp kendisini gizliyor. Zararlı yazılım başarılı bir şekilde hedef cihaza bulaştıktan sonra saldırganlar şunları yapabiliyor:
Bilgi sızdırma:
- Kişiler
- Hesap verileri
- Çağrı listeleri ve görüşmelerin sesli kayıtları
- Cihazın SD kartında saklanan resimler
- GPS konum bilgisi
- SMS mesajları
- Yüklenen uygulamaların detayları, tarayıcı verileri
- Basılan tuşların kaydı ve pano verileri
- Vb.
Arka kapı işlevleri:
- Gizlice SMS göndermek
- Gizlice arama yapmak
- Shell komutları çalıştırmak
Ek bir zararlı işlev sayesinde ise Telegram, WhatsApp IMO gibi anlık mesajlaşma uygulamaları, web tarayıcı (Chrome) ve bazı diğer uygulamalar da hedef alınabiliyor. Saldırıya uğrayan uygulamaların dahili veri tabanları zararlı yazılım tarafından çalınabiliyor. Örneğin tarayıcı söz konusu olduğunda, diğer websitelerine giriş için kullanılan kayıtlı kimlik bilgileri saldırı sonunda ele geçirilebiliyor.
Yapılan inceleme bu saldırganların Mısır, Ürdün, Fas, Lübnan ve İran’daki kullanıcılarına odaklandığını ortaya çıkarıyor. Saldırganların kurbanları tuzağa düşürüp zararlı yazılımı kurmalarını sağlamak için kullandığı haber başlıkları temel alındığında, ZooPark’ın olası hedefleri arasında Birleşmiş Milletler Yardım ve Bayındırlık Ajansı üyelerinin olduğu düşünülüyor.
Kaspersky Lab araştırmacıları, 2015’ten beri aktif olan ZooPark ailesiyle ilgili en az dört nesil casusluk yazılımı tespit etmeyi başardı.
Kaspersky Lab ürünleri bu tehdidi tespit edip engelleyebiliyor.
ZooPark gelişmiş kalıcı tehdidi hakkında daha fazlasını Securelist.com adresinde okuyabilirsiniz.