ZooPark es el nombre del nuevo malware que está atacando dispositivos que utilizan Android como sistema operativo. Se centra en robar conversaciones de apps como WhatsApp o Telegram, además de fotos, vídeos y otros datos sensibles que se almacenan en tu móvil.
Tus conversaciones en peligro: ZooPark quiere robar tus chats de WhatsApp
Gran parte del tiempo que pasamos usando nuestros teléfonos Android lo hacemos utilizando aplicaciones de mensajería. A través de servicios como WhatsApp o Telegram, compartimos una gran cantidad de información, incluyendo datos personales, fotografías o vídeos. Por eso estas aplicaciones son un blanco perfecto para malware orientado al espionaje que busca hacerse con información privada con la que sacar beneficio económico o realizar vigilancia masiva.
Esto es exactamente lo que está haciendo ZooPark, un spyware de tipo troyano detectado y analizado por el equipo de Kaspersky. ZooPark intentará hacerse con contraseñas, fotos, vídeos, capturas de pantalla y datos de WhatsApp, Telegram y otras aplicaciones en móviles que usan Android. No se limita a ver lo que envías: su objetivo es tener acceso a prácticamente todo lo que haces y almacenas en tu teléfono.
Este malware ha evolucionado durante cuatro generaciones. En sus primeras versiones se limitaba a robar la agenda de contactos e información básica del dispositivo, pero las últimas variantes han ido ampliando sus capacidades hasta niveles propios de una herramienta de ciberespionaje profesional. Hoy en día puede hacerse con claves de encriptado, datos del portapapeles e incluso historiales de búsqueda del navegador, así como información de las cuentas configuradas en el móvil.
Según las investigaciones de Kaspersky, ZooPark está diseñado para ataques dirigidos, no para una infección masiva cualquiera. Esto significa que los delincuentes eligen a sus víctimas de forma muy concreta (políticos, activistas, periodistas, altos directivos, etc.) y utilizan el malware para recopilar la máxima cantidad de información confidencial posible sin levantar sospechas.
También puede hacer fotos y vídeos por sí mismo, además de hacer llamadas, enviar mensajes y ejecutar otros comandos remotos. De este modo, los atacantes no solo leen lo que escribes, sino que pueden llegar a controlar funciones clave del dispositivo, usar la cámara frontal para obtener la imagen del propietario o grabar el entorno usando el micrófono.
Qué información puede robar ZooPark de tu móvil Android
La última generación de ZooPark se comporta como un spyware extremadamente completo, capaz de recopilar prácticamente todo lo que hay en tu smartphone. Entre los datos que puede robar y enviar a los atacantes se incluyen, entre otros:
- Contactos almacenados en la agenda.
- Información de las cuentas de usuario configuradas en el móvil.
- Historial de llamadas y registros recientes.
- Grabaciones de llamadas realizadas desde el dispositivo.
- Mensajes SMS enviados y recibidos.
- Favoritos e historial del navegador.
- Historial de búsqueda en el navegador.
- Ubicación del dispositivo mediante GPS.
- Información detallada del dispositivo (modelo, versión de Android, operador, etc.).
- Listado de aplicaciones instaladas y su uso.
- Archivos de la tarjeta de memoria (fotos, vídeos, documentos…).
- Documentos almacenados en la memoria interna.
- Información introducida mediante teclado en pantalla (keylogging).
- Contenido del portapapeles (texto copiado, a menudo con contraseñas o datos bancarios).
- Datos internos de aplicaciones, por ejemplo, información de apps de mensajería como Telegram, WhatsApp o el navegador Chrome.
Además de obtener esta información, ZooPark puede realizar capturas de pantalla, hacer fotos y grabar vídeos bajo las órdenes de los atacantes. Una de las tácticas habituales consiste en usar la cámara frontal para tomar una fotografía del propietario del teléfono y enviarla al servidor de comando y control, asociando así un rostro a cada dispositivo infectado.
Lo más preocupante es que puede espiar conversaciones cifradas en servicios como WhatsApp, Telegram o Signal. No rompe el cifrado extremo a extremo, sino que actúa después del descifrado, capturando el contenido directamente desde la pantalla o a través de los servicios de accesibilidad de Android. De esta forma, evita por completo las barreras criptográficas y puede leer mensajes, nombres de contacto y chats completos como si fueras tú mismo.
Por si fuera poco, ZooPark incluye funciones para enviar mensajes y efectuar llamadas silenciosas desde el dispositivo. Esto puede utilizarse para propagar enlaces maliciosos a otros contactos o para realizar acciones sin que el usuario note nada extraño más allá de un ligero aumento en el consumo de batería o de datos.
Mantén tu Android actualizado para estar más seguro
De momento, ZooPark ha centrado sus ataques principalmente en países como Egipto, Líbano, Marruecos, Irán y Jordania, así como en usuarios interesados en temas políticos de Oriente Medio. Aunque su campo de actuación parece haber estado confinado inicialmente a estos territorios y a campañas de ciberespionaje muy dirigidas, nada hace pensar que no se pueda extender a Europa u otras regiones, suponiendo un grave problema de seguridad y de filtración de datos.
Los expertos sospechan que detrás de ZooPark podría haber servicios de inteligencia o grupos con grandes recursos, dado el nivel de sofisticación que ha alcanzado el spyware y el hecho de que se haya ido perfeccionando en varias generaciones. También se baraja la posibilidad de que algunas versiones hayan sido adquiridas a empresas que venden herramientas de vigilancia, un mercado cada vez más activo y difícil de rastrear.
Es necesario estar protegidos ante este tipo de amenazas, y una de las primeras y más básicas recomendaciones es mantener tu teléfono actualizado. Cada actualización de seguridad de Android corrige vulnerabilidades que pueden estar siendo aprovechadas por malware similar para obtener acceso al sistema.
Abre los Ajustes de tu móvil y encuentra la categoría de Sistema. Busca la opción de Actualización del sistema y, una vez dentro, pulsa el botón de Comprobar actualizaciones. El propio móvil te indicará entonces si tienes algún parche pendiente o si estás al día. Ignorar estas actualizaciones deja abiertas puertas que herramientas de espionaje como ZooPark pueden aprovechar.
Además del sistema, es fundamental que tengas siempre actualizadas las aplicaciones más sensibles, especialmente navegadores, apps bancarias y plataformas de mensajería como WhatsApp y Telegram. Muchas vulnerabilidades que afectan a la instalación de spyware se solucionan con nuevas versiones de estas aplicaciones.
Como ejemplo de lo peligroso que puede ser un fallo de seguridad en una app de mensajería, se han conocido vulnerabilidades que permitían instalar spyware simplemente con recibir una llamada o abrir un archivo multimedia. Si no actualizas, podrías seguir siendo vulnerable incluso aunque el fabricante ya haya corregido el problema para el resto de usuarios.
Cómo se infecta un móvil con ZooPark y cómo reducir riesgos
Obviamente, de cara a evitar las instalaciones de malware, recuerda vigilar desde dónde instalas aplicaciones. Lo normal es usar la Play Store, pero de vez en cuando se recurre a portales como APK Mirror u otras webs para descargar archivos APK. Es necesario vigilar muy bien qué aplicaciones instalamos de este modo, dado que, si parecen sospechosas, es mejor no jugársela. Muchos ataques con ZooPark se han apoyado en sitios de noticias falsos, apps que se hacen pasar por servicios oficiales o supuestos mensajeros “todo en uno”.
Los ciberdelincuentes también pueden hackear sitios web legítimos con buena reputación y usarlos para ataques de descarga involuntaria, forzando la descarga de un archivo automáticamente cuando el usuario entra en la página. De este modo, un simple clic en un enlace de actualidad política o en una noticia sobre Oriente Medio podía acabar en la descarga de una app maliciosa que en apariencia parecía una fuente de noticias confiable.
Otro vector de distribución muy relevante son los canales de Telegram. En campañas reales se ha visto cómo los atacantes ofrecían supuestas apps para votar en un referéndum, participar en encuestas políticas o acceder a grupos especiales. Tras instalar estas apps, el usuario estaba en realidad dándole al atacante el control remoto del dispositivo.
Algunas pautas básicas para reducir el riesgo de infección por ZooPark y malware similar son:
- Descargar aplicaciones únicamente desde fuentes de confianza y desactivar, si es posible, la instalación desde orígenes desconocidos.
- Desconfiar de enlaces recibidos por mensajería que prometen funciones exclusivas, ofertas, sorteos o herramientas de espionaje.
- Instalar una solución de seguridad para Android de un proveedor reconocido, capaz de detectar spyware avanzado.
- Revisar con frecuencia los permisos de las aplicaciones, especialmente accesibilidad, superposición sobre otras apps y administración del dispositivo.
Tomando precauciones normales, utilizando el sentido común y manteniendo el dispositivo al día, tus datos estarán mucho más protegidos frente a campañas de ciberespionaje tan invasivas como ZooPark, que han demostrado de forma clara que nuestros móviles son ya un objetivo prioritario para los atacantes.
