Как не завести ZooPark в своем смартфоне

Следите за новостями? Не факт, что новости не следят за вами. Шпион ZooPark атакует неравнодушных к политике.

Иногда даже совершенно безобидный на вид сайт с хорошей репутацией может быть зловредным – злоумышленники могут найти в нем уязвимость и проэксплуатировать ее так, чтобы для каждого пользователя, заходящего на этот сайт, автоматически скачивался какой-нибудь файл. Это называется атакой с помощью скрытой загрузки (drive-by download). Например, пользователи Android, неравнодушные к событиям на Ближнем Востоке, из-за такой вот атаки рискуют завести на своем смартфоне целый зоопарк, точнее, шпионскую программу под названием ZooPark. В этом посте мы расскажем, что это за зверь такой.»Лаборатория Касперского» следит за этим зловредом еще с 2015 года, и с тех пор он многому научился. В текущей — уже четвертой — версии этот троян может украсть со смартфона практически любую информацию, начиная с контактных данных и заканчивая логами звонков и записями с клавиатуры. Вот список данных, которые ZooPark способен собирать и сдавать своим хозяевам:

  • Контакты;
  • Информация об аккаунтах пользователя;
  • История звонков;
  • Аудиозаписи звонков;
  • Содержание СМС-сообщений;
  • Закладки и история браузера;
  • История поиска в браузере;
  • Местонахождение устройства;
  • Информация об устройстве;
  • Информация об установленных приложениях;
  • Любые файлы с карты памяти;
  • Документы с устройства;
  • Данные, вводимые с экранной клавиатуры;
  • Данные из буфера обмена;
  • Данные приложений (например, мессенджеров Telegram, WhatsApp и IMO, а также браузера Chrome).

Помимо этого, ZooPark по команде умеет делать скриншоты и фотографии, а также записывать видео. Например, он может сделать фотографию владельца смартфона с фронтальной камеры и отправить ее «в центр».

Откуда берутся звери

Шпионский троян ZooPark используется для целевых атак, то есть рассчитан не на всех подряд, а на конкретную аудиторию. Как мы уже говорили, злоумышленники метят в тех, кто живо интересуется определенными темами, а если точнее — политикой некоторых ближневосточных стран.

Основных способов распространения у ZooPark два: через Telegram-каналы и с помощью вышеупомянутых атак со скрытой загрузкой. Например, преступники предлагали в Telegram-канале приложение для удаленного голосования на референдуме о независимости Иракского Курдистана.

Также злоумышленники взламывают популярные в определенных странах или кругах ресурсы, после чего с сайта начинает автоматически загружаться зараженное приложение, прикидывающееся чем-то полезным — например, официальным приложением данного новостного ресурса. Наконец, в некоторых случаях зловред прикидывался универсальным мессенджером «все в одном». Подробнее о технических аспектах ZooPark вы можете узнать из поста на Securelist.

Чтобы зоопарк не пришел к вам

Что же делать, чтобы не подхватить этого — или подобного — опасного шпиона? Стоит не забывать о нескольких простых правилах, позволяющих сделать вашу виртуальную жизнь безопаснее:

  • Скачивайте приложения только из доверенных магазинов. А еще лучше — вообще отключите в настройках устройства возможность устанавливать программы из сторонних магазинов.
  • Своевременно обновляйте систему и важные приложения. Многие проблемы безопасности решаются установкой актуальных версий.
  • Используйте мобильный антивирус — он заблокирует сомнительные ссылки и приложения. Kaspersky Internet Security для Android умеет обнаруживать ZooPark и обезвреживать его.
Советы