A ameaça foi batizada de ZooPark e ela foi identificada especialmente em países do Oriente Médio, utilizando websites legítimos como fonte de infecção, segundo a Kaspersky. Isso pode ser um indício de que o ataque pode ser patrocinado por algum governo, visando atingir organizações políticas e hactivistas da região.
As aplicações infetadas com o ZooPark foram distribuídas em websites de notícias e páginas políticas de maior popularidade em partes específicos do Oriente Médio, com nomes que tentavam imitar serviços legítimos. Um exemplo é um app chamado “TelegramGroups”, identificado pela empresa de segurança, que não tem nada a ver com o verdadeiro Telegram.
- Contactos;
- Contas pessoais;
- Registo de chamadas e áudios das ligações;
- Imagens armazenadas no aparelho e no cartão de memória;
- Localização de GPS;
- Mensagens SMS;
- Dados das aplicações instaladas e do navegador;
- Registos do que o utilizador digita e tudo que ele copia e cola;
Para completar, os criminosos também podem forçar o dispositivo a realizar ligações e enviar mensagens SMS sem autorização da vítima, além de executar código remotamente. Ou seja: o smartphone passa a ser totalmente monitorizado e remotamente controlado.
O malware tem também o objetivo de recolher informações sobre as mensagens que as vítimas trocavam por meio do Telegram e do WhatsApp (uma vez que o malware tem origem hacktivista).
O ataque também extrai bases de dados internos de aplicações como Chrome, o que permite roubar password e credenciais de websites e serviços online.