Các nhà nghiên cứu tại Kaspersky Lab vừa phát hiện một nhóm gián điệp mạng tinh vi có tên ZooPark, nhắm tới người dùng Android ở các nước Trung Đông, phần lớn ở Iran trong nhiều năm qua. Theo hãng bảo mật này, tin tặc đã sử dụng các trang web hợp pháp làm công cụ lây nhiễm, và có vẻ chiến dịch này được chính phủ hậu thuẫn nhắm đến các tổ chức chính trị cũng như nhiều mục tiêu khác trong khu vực này.
Một số ứng dụng độc hại đang được nhóm ZooPark phát tán qua các trang tin tức phổ biến tại khu vực Trung Đông như Telegram Groups hay Alnaharegypt News. Sau khi lây nhiễm thành công, phần mềm độc hại giúp kẻ tấn công có khả năng đánh cắp thông tin danh bạ, thông tin tài khoản, thông tin cuộc gọi và ghi âm cuộc gọi, hình ảnh lưu trên thẻ nhớ thiết bị, định vị GPS, tin nhắn, các ứng dụng đã cài đặt, thông tin trình duyệt, thao tác bàn phím và dữ liệu khay nhớ tạm. Ngoài ra, ứng dụng độc hại còn có khả năng bí mật gửi tin nhắn và thực hiện cuộc gọi…
Một chức năng độc hại khác nhắm vào các ứng dụng nhắn tin như Telegram, WhatsApp IMO; trình duyệt web (Chrome) và một số ứng dụng khác. Nó cho phép phần mềm độc hại đánh cắp cơ sở dữ liệu của các ứng dụng bị tấn công.
Ví dụ: Với trình duyệt web, thông tin người dùng lưu trên các trang web có thể bị đánh cắp.
Dựa trên kết quả điều tra, kẻ đứng sau các phần mềm độc hại này nhắm vào người dùng cá nhân tại Ai Cập, Jordan, Morocco, Lebanon và Iran. Hơn nữa, dựa vào tin tức mà những kẻ tấn công dùng để dụ dỗ nạn nhân cài đặt phần mềm độc hại, những người ủng hộ người Kurd và các thành viên của Cơ quan Cứu trợ và Hoạt động của Liên hợp quốc tại Amman nằm trong số những nạn nhân tiềm năng của ZooPark.
Alexey Firsh – Chuyên gia Bảo mật tại Kaspersky Lab chia sẻ: “Càng ngày càng nhiều người sử dụng thiết bị di động làm thiết bị liên lạc chính hoặc duy nhất. Và chắc chắn điều này đã được các kẻ tấn công chú ý đến, những kẻ đang xây dựng bộ công cụ theo dõi người dùng di động, nhất là khi chúng được chính phủ hậu thuẫn. Việc ZooPark chủ động theo dõi các mục tiêu ở các nước Trung Đông là một ví dụ điển hình và chắc chắn nó không phải cái tên duy nhất”.
Các nhà nghiên cứu tại Kaspersky Lab đã phát hiện ít nhất 4 thế hệ của phần mềm gián điệp ZooPark hoạt động từ năm 2015. Hiện vẫn chưa chắc chắn được kẻ đứng sau ZooPark là ai nhưng dựa trên những thông tin được công bố thì dữ liệu hệ thống C&C của ZooPark được phát hiện tại Iran. Các sản phẩm của Kaspersky Lab đã phát hiện và ngăn chặn thành công mối đe dọa này.
VN-Tek