Skygofree: oprogramowanie szpiegowskie na Android
Badacze z Kaspersky Lab wykryli zaawansowany mobilny szkodliwy program, który jest aktywny od 2014 r. i został stworzony do celów inwigilacji, prawdopodobnie jako produkt „ofensywnego bezpieczeństwa”. Program o nazwie Skygofree zawiera funkcjonalność, jakiej nie posiadał wcześniej żaden inny szkodnik występujący „na wolności”, na przykład oparte na lokalizacji nagrywanie dźwięku przy użyciu zainfekowanych urządzeń. Narzędzie szpiegowskie jest rozprzestrzeniane za pośrednictwem stron internetowych podszywających się pod czołowych operatorów sieci mobilnych na świecie. Skygofree to wyrafinowane, działające wieloetapowo oprogramowanie szpiegujące, które zapewnia atakującym pełną zdalną kontrolę nad zainfekowanym urządzeniem.
Od czasu powstania pierwszej wersji pod koniec 2014 r. program ten był nieustannie rozwijany i obecnie umożliwia podsłuchiwanie prowadzonych w pobliżu rozmów oraz dźwięków po znalezieniu się zainfekowanego urządzenia w określonej lokalizacji – tego rodzaju funkcji nie zaobserwowano wcześniej w oprogramowaniu tego typu. Inne zaawansowane, niespotkane wcześniej funkcje obejmują wykorzystywanie usług dostępności w celu kradzieży wiadomości z komunikatora WhatsApp oraz możliwość połączenia zainfekowanego urządzenia z kontrolowaną przez atakujących siecią Wi-Fi.
Skygofree zawiera wiele szkodliwych narzędzi (tzw. exploitów) umożliwiających uzyskanie dostępu z prawami administratora, a także potrafi wykonywać zdjęcia i kręcić filmy, przechwytywać rejestry połączeń, SMS-y, geolokalizację, wydarzenia z kalendarza oraz przechowywane w pamięci urządzenia informacje związane z działalnością biznesową. Specjalna funkcja pozwala mu obejść technikę oszczędzania baterii, zastosowaną przez jednego z czołowych producentów smartfonów: szkodnik dodaje się do listy „chronionych aplikacji”, dzięki czemu nie jest automatycznie wyłączany wraz z wygaszeniem ekranu.
Wydaje się, że atakujący są również zainteresowani użytkownikami systemu Windows – badacze z Kaspersky Lab znaleźli wiele opracowanych niedawno modułów atakujących tę platformę.
Większość spreparowanych stron docelowych wykorzystywanych do rozprzestrzeniania szkodnika zarejestrowano w 2015 r., kiedy to, według telemetrii Kaspersky Lab, prowadzono najaktywniejszą kampanię dystrybucyjną. Kampania ta nadal jest aktywna, a najnowsza domena została zarejestrowana w październiku 2017 r. Według danych jest już kilka ofiar, wszystkie we Włoszech.
Wysokiej jakości mobilne szkodliwe oprogramowanie jest bardzo trudne do zidentyfikowania i zablokowania, co wyraźnie wykorzystali twórcy Skygofree, rozwijając i usprawniając narzędzie, które potrafi skutecznie szpiegować swoje cele bez wzbudzania podejrzeń. Na podstawie śladów wykrytych w kodzie szkodliwego oprogramowania oraz przeprowadzonej przez nas analizy infrastruktury atakujących jesteśmy niemal pewni, że twórcą implantów Skygofree jest włoska firma IT, która oferuje rozwiązania inwigilujące przypominające produkty HackingTeam – powiedział Alex Firsh, analityk szkodliwego oprogramowania, Kaspersky Lab.
Badacze znaleźli 48 różnych poleceń, które mogą zostać wykorzystane przez atakujących i znacząco zwiększają zakres możliwości szkodnika.
Produkty Kaspersky Lab wykrywają wersje szkodnika Skygofree dla Androida jako HEUR:Trojan.AndroidOS.Skygofree.a oraz HEUR:Trojan.AndroidOS.Skygofree.b. Wersje dla systemu Windows są wykrywane jako UDS:DangerousObject.Multi.Generic.
Dalsze informacje, w tym pełna lista poleceń oprogramowania Skygofree, oznaki infekcji oraz adresy domen wykorzystywanych do rozprzestrzeniania zagrożenia, są dostępne na stronie https://r.kaspersky.pl/27qDU
