Kaspersky Lab annonce dans un communiqué que ses chercheurs viennent de découvrir ZooPark. Il s'agit, précise le spécialiste mondial en cybersécurité, d'une campagne élaborée de cyberespionnage, qui cible depuis plusieurs années les utilisateurs d'appareils Android dans divers pays du Moyen-Orient. «Se servant de sites web légitimes comme sources d'infection, cette campagne paraît être une opération étatique visant des organisations politiques, des activistes et d'autres cibles dans la région», explique Kaspersky Lab. Autres détails donnés: Certaines applications du code malveillant ZooPark sont diffusées à partir de sites d'actualités ou politiques très consultés dans certaines zones du Moyen-Orient. Elles se dissimulent sous la forme d'applications légitimes portant des noms tels que « TelegramGroups » ou « Alnaharegypt news », entre autres, bien connus dans des pays de la région. Une fois l'infection réussie, le malware offre à l'auteur de l'attaque les capacités suivantes d'exfilter de nombreuses données : contacts, identifiants de comptes, journaux et enregistrements audio des appels, photos stockées sur la carte SD de l'appareil, localisation GPS, SMS, détails des applications installées, données du navigateur, enregistrement des frappes clavier et contenu du presse-papiers, etc. Kaspersky Lab prévient aussi qu'une autre fonction malveillante cible les messageries instantanées (Telegram, WhatsApp, IMO), le navigateur web (Chrome) et plusieurs autres applications. Elle permet au malware de dérober les bases de données internes des applications attaquées. Par exemple, dans le cas du navigateur, il s'agit des identifiants enregistrés pour d'autres sites web, susceptibles d'être infectés à la suite de l'attaque. « Les utilisateurs sont de plus en plus nombreux à se servir de leur mobile comme principal voire unique moyen de communication. Or cette tendance n'est certainement pas passée inaperçue aux yeux des acteurs malveillants étatiques, qui développent leur arsenal afin de le rendre suffisamment efficace pour pister les utilisateurs mobiles. La menace persistante avancée (APT) ZooPark, qui espionne activement des cibles dans des pays du Moyen-Orient, en est un exemple mais il n'est sans doute pas isolé », commente Alexey Firsh, expert en sécurité chez Kaspersky Lab. Le Maroc ciblé Selon les conclusions de Kaspersky Lab, les attaques ciblent en priorité des utilisateurs en Egypte, en Jordanie, au Maroc, au Liban et en Iran. «En fonction des thèmes d'actualité choisis par les assaillants pour inciter par tromperie leurs victimes à installer le malware, des membres de l'Office de secours et de travaux des Nations Unies (UNRWA) font partie des cibles potentielles de ZooPark», ajoute le spécialiste. Les chercheurs de Kaspersky Lab affirment avoir pu identifier au moins quatre générations du malware espion lié à la famille ZooPark, laquelle est active depuis 2015 au minimum. Pour en savoir plus sur l'APT ZooPark: Securelist.com.
