A Kaspersky Lab szakemberei által ZooParknak elnevezett kártevő néhány alkalmazását olyan hírportálokon találták meg, amelyek a Közel-Kelet speciális részein népszerűek. A fertőző appok olyan legitim alkalmazásokat imitáltak (többek között „TelegramGroups” és “Alnaharegypt hírek” néven) amelyek több közel-keleti országban is elismertnek és relevánsnak számítanak. A kutatók mindeddig összesen legalább négy generációt azonosítottak, amely a ZooPark kiberkém malware családhoz tartozhat és legalább 2015 óta működik.
Egy sikeres fertőzés után a malware rendkívül sok mindenhez ad hozzáférést a kiberbűnözőknek: kontaktokhoz, online fiókok adataihoz, híváslistákhoz, GPS helyadatokhoz, SMS üzenetekhez, böngésző előzményekhez. A kártékony kód emellett arra is képes, hogy a felhasználó tudta nélkül SMS-t küldjön a háttérből, vagy telefonhívást kezdeményezzen. Továbbá képes megcélozni üzenetküldő alkalmazásokat, például a Telegramot vagy a WhatsApp-ot, valamint webböngészőt (Chrome) és néhány más alkalmazást is. Lehetővé teszi a malware számára, hogy a megtámadott alkalmazások adatbázisát ellopja, például egy webböngésző esetén a webhelyen tárolt hitelesítési adatok is veszélybe kerülnének egy eredményes támadás során.
A vizsgálat azt sugallja, hogy a támadók az Egyiptomban, Jordániában, Marokkóban, Libanonban és az Iránban élő felhasználókra fókuszálnak. Az áldozatok megtévesztésére használt álhírek arra utalnak, hogy az ENSZ munkatársai is a ZooPark célpontjai közé tartozhatnak.
