A volte un sito apparentemente normale e dalla buona reputazione può essere dannoso, poiché i cybercriminali riescono a trovare una vulnerabilità e la sfruttano per i propri scopi. Ad esempio, possono utilizzare un sito per attacchi drive-by, che comportano il download automatico di un file (e senza alcun consenso dell’utente) nel momento in cui si visita il sito. Gli utenti Android che vogliono informarsi su ciò che accade in Medio Oriente possono rischiare di trovarsi sui proprio smartphone lo spyware ZooPark.
Kaspersky Lab sta monitorando questo malware dal 2015, che nel tempo ha aggiunto nuovi trucchi. L’ultima versiona del Trojan (la quarta) può rubare quasi ogni tipo di informazione dal vostro smartphone, dai contatti al registro delle chiamate, passando per i dati digitati. Qui di seguito l’elenco dei dati che ZooPark può raccogliere e passare ai cybercriminali:
- Contatti
- Informazioni sull’account dell’utente
- Cronologia delle chiamate
- Registrazioni audio delle chiamate
- Messaggi di testo
- Bookmark e cronologia di navigazione
- Cronologia delle ricerche sul browser
- Ubicazione del dispositivo
- Informazioni sul dispositivo
- Informazioni sulle app installate
- Tutti i file presenti nella scheda di memoria
- Documenti salvati sul dispositivo
- Informazioni digitate sulla tastiera a schermo
- Appunti
- Dati nelle app (ad esempio, i dati provenienti da app di messaggistica come Telegram e WhatsApp o dati su Chrome)
Inoltre, ZooPark può scattare foto e screenshot o registrare video su richiesta. Ad esempio, può scattare una foto del proprietario del telefono grazie alla fotocamera frontale e inviarla al centro comandi.
Malware “fantastici” e dove trovarli
Il Trojan spyware ZooPark viene impiegato in attacchi mirati, ovvero non viene inviato a caso ma è rivolto a un “pubblico” specifico. In concreto, i cybercriminali che hanno creato ZooPark vogliono colpire coloro che sono interessati ad argomenti specifici, in questo caso la politica in Medio Oriente.
ZooPark si diffonde attraverso due canali principali: donwload drive-by e Telegram. In quest’ultimo caso, ad esempio, i cybercriminali hanno creato un’app su Telegram riguardante il referendum d’indipendenza in Kurdistan.
I cybercriminali hanno anche hackerato alcune risorse Web popolari in alcuni paesi o cerchie di utenti: i visitatori installano automaticamente un’app infetta che invece dovrebbe avere una certa utilità (ad esempio, un’app ufficiale per le notizie). Infine, in alcuni casi, il malware assume le sembianze di un servizio di messaggistica “a tutto tondo”. Se volete sapere qualcosa di più sulle caratteristiche tecniche di ZooPark, vi consigliamo il nostro post su Securelist (in lingua inglese).
Come evitare lo zoo
Se non volete essere le prossime vittime di questo pericoloso spyware, ecco qualche semplice regola da tenere a mente per una vita virtuale più sicura:
- Scaricate app solo da fonti sicure o, ancor meglio, utilizzate le impostazioni del dispositivo per disattivare l’installazione di programmi da store di terze parti;
- Aggiornate il sistema operativo e le app più importanti non appena ci sono aggiornamenti disponibili. Molti problemi di sicurezza possono essere risolti installando le versioni aggiornate dei software;
- Utilizzate un antivirus per dispositivi mobili, per bloccare link e app sospette. Kaspersky for Android è in grado di individuare e neutralizzare ZooPark.