Los expertos de Kasperksy Lab han descubierto una campaña de ciberespionaje centrada en Oriente Medio y el Norte de África que ha apuntado contra usuarios de Telegram para Android y ha comprometido diversos sitios web.
Kaspersky Lab ha dicho que ha encontrado cuatro versiones de ZooPark, un malware que habría sido desarrollado entre 2015 y 2017. La más reciente era capaz de extraer una gran cantidad de datos, incluyendo los contactos, la localización mediante GPS, los mensajes de texto, las llamadas de audio, registrar las pulsaciones sobre el teclado táctil, etc. Además, también era capaz de tomar fotos y pantallazos y grabar vídeos y audio. Posiblemente lo último era lo más importante, ya que indica que ZooPark podría formar parte de algún programa de vigilancia estatal, sin que se pueda descartar el hecho de que haya sido comprado. Sobre los países más afectados, nos encontramos con Irán, Marruecos, Egipto, Jordania y Líbano.
Para su esparcimiento, ZooPark ha utilizado diversos medios, de los que se puede destacar el servicio de mensajería instantánea Telegram. Los investigadores de Kaspersky han identificado canales de Telegram que los atacantes han utilizado para esparcir enlaces maliciosos. Uno de los canales estuvo activo entre 2015 y 2016 en el Kurdistán iraní, difundiendo enlaces que dirigían a una falsa aplicación para votar. Sin embargo, parece que el servicio de mensajería no puede ser usado ahora en Irán debido a que las autoridades de ese país lo han bloqueado, una situación que ya se produjo a principios de año.
Los investigadores también han descubierto que los atacantes han utilizado ataques de tipo abrevadero, a través de los cuales se comprometían sitios web populares para instalar malware en dispositivos de las víctimas. Al estar centrado en Oriente Medio y el Norte de África, muchos de esos sitios web eran de origen árabe. Otro aspecto importante es que los investigadores han observado menos de 100 objetivos, lo que hace pensar la campaña estaba claramente dirigida y no fue algo indiscriminado.
En muchas ocasiones hemos comentado en MuySeguridad sobre la gran cantidad de dispositivos Android sin soporte por parte del fabricante que siguen en funcionamiento. Aunque eso no quita la responsabilidad del usuario por descargar e instalar un software maliciosos, el hecho de tener cientos de millones de dispositivos Android sin soporte facilita mucho la tarea a los encargados de llevar a cabo campañas de vigilancia o ciberespionaje.