Gli esperti dei Kaspersky Lab hanno scoperto un sofisticato malware per Android che permette di rubare un numero elevato di informazioni dallo smartphone. Si tratta di un’evoluzione del malware ZooPark, individuato per la prima volta nel 2015 ma che nel corso degli anni è diventato un completo strumento di cyberspionaggio con l’aggiunta ogni volta di diverse funzionalità.
Il ritorno di un vecchi e pericoloso malware
In base ai dati raccolti da Kaspersky, i target dell’operazione di spionaggio sono in Africa e Medio Oriente, principalmente in Marocco, Egitto, Libano, Giordania e Iran. La complessità degli attacchi indica che si tratta di un malware “governativo” acquistato da aziende in grado di sviluppare tool di sorveglianza. È probabile che alcuni componenti provengano dal kit della NSA reso pubblico dal noto gruppo Shadow Brokers. La software house russa parla di spyware commerciale, senza tuttavia indicare gli autori e gli acquirenti.
La distribuzione del malware avviene tramite i canali Telegram e siti compromessi che dirottano i visitatori verso altri siti con file APK infetti. La versione originaria di ZooPark era solo in grado di rubare i dati dell’account e i contatti nella rubrica, mentre questa è più complessa e pericolosa.
La successiva versione, infatti, permette di accedere ai log delle chiamate, alla posizione GPS, agli SMS e alle informazioni del dispositivo. Sono state aggiunte poi le funzionalità per registrare le chiamate, rilevare le app installate, leggere la cronologia del browser e prelevare foto dalla memory card. ZooPark è diventato un tool di spionaggio tempo fa con la versione 4, con la quale era possibile registrare video e audio, scattare screenshot, leggere i contenuti di Telegram, WhatsApp e Chrome, eseguire comandi da remoto, inviare SMS ed effettuare chiamate.
Si tratta dunque di un potente strumento che può essere utilizzato per spiare determinati target, come politici, giornalisti e dissidenti, non a caso tra le vittime ci sono alcuni oppositori del presidente ucraini Zelensky, i sostenitori della causa curda e i membri dell’Agenzia delle Nazioni Unite per i rifugiati palestinesi.