Как не завести ZooPark в своем смартфоне

Следите за новостями? Не факт, что новости не следят за вами. Шпион ZooPark атакует неравнодушных к политике.

Иногда даже совершенно безобидный на вид сайт с хорошей репутацией может быть зловредным – злоумышленники могут найти в нем уязвимость и проэксплуатировать ее так, чтобы для каждого пользователя, заходящего на этот сайт, автоматически скачивался какой-нибудь файл. Это называется атакой с помощью скрытой загрузки (drive-by download). Например, пользователи Android, неравнодушные к событиям на Ближнем Востоке, из-за такой вот атаки рискуют завести на своем смартфоне целый зоопарк, точнее, шпионскую программу под названием ZooPark. В этом посте мы расскажем, что это за зверь такой.«Лаборатория Касперского» следит за этим зловредом еще с 2015 года, и с тех пор он многому научился. В текущей — уже четвертой — версии этот троян может украсть со смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры. Вот список данных, которые ZooPark способен собирать и сдавать своим хозяевам:

• Контакты;
• Информация об аккаунтах пользователя;
• История звонков;
• Аудиозаписи звонков;
• Содержание СМС-сообщений;
• Закладки и история браузера;
• История поиска в браузере;
• Местонахождение устройства;
• Информация об устройстве;
• Информация об установленных приложениях;
• Любые файлы с карты памяти;
• Документы с устройства;
• Данные, вводимые с экранной клавиатуры;
• Данные из буфера обмена;
• Данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).

Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее «в центр».

Шпионский троян ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Как мы уже говорили, злоумышленники метят в тех, кто живо интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран.

Основных способов распространения у ZooPark два: через Telegram-каналы и с помощью вышеупомянутых атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана.

Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-о полезным — например, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях зловред прикидывался универсальным мессенджером «все в одном». Подробнее о технических аспектах ZooPark вы можете узнать из поста на Securelist.

Что же делать, чтобы не подхватить этого — или подобного — опасного шпиона? Стоит не забывать о нескольких простых правилах, позволяющих сделать вашу виртуальную жизнь безопаснее:

• Скачивайте приложения только из доверенных магазинов. А еще лучше — вообще отключите в настройках устройства возможность устанавливать программы из сторонних магазинов.
• Своевременно обновляйте систему и важные приложения. Многие проблемы безопасности решаются установкой актуальных версий.
• Используйте мобильный антивирус — он заблокирует сомнительные ссылки и приложения. Kaspersky Internet Security для Android умеет обнаруживать ZooPark и обезвреживать его.

09.05.2018