Οι ερευνητές της Kaspersky Lab ανακάλυψαν ένα προηγμένο mobile εμφύτευμα, το Skygofree, ενεργό από το 2014, το οποίο είναι σχεδιασμένο για στοχευμένη ψηφιακή παρακολούθηση. Ενδεχομένως, η κακόβουλη εφαρμογή χρησιμοποιείται για «επιθετική ασφάλεια».
Το εμφύτευμα Skygofree διαθέτει λειτουργικότητα που δεν έχει παρατηρηθεί ελεύθερη προς χρήση στο Διαδίκτυο κατά το παρελθόν, όπως η εγγραφή ήχου βάσει τοποθεσίας μέσω «μολυσμένων» συσκευών. Το spyware εξαπλώνεται μέσω ιστοσελίδων που μιμούνται κορυφαίους διαχειριστές φορητών δικτύων.
Το Skygofree είναι ένα εξελιγμένο spyware πολλαπλών σταδίων που δίνει στους επιδρομείς πλήρη απομακρυσμένο έλεγχο μίας «μολυσμένης» συσκευής. Βρίσκεται σε συνεχή εξέλιξη από τότε που δημιουργήθηκε η πρώτη έκδοση στα τέλη του 2014 και πλέον περιλαμβάνει την ικανότητα να παρακολουθεί τις περιβάλλουσες συνομιλίες και τον θόρυβο όταν μια «μολυσμένη» συσκευή εισέρχεται σε μια συγκεκριμένη τοποθεσία – μια λειτουργία που δεν έχει βρεθεί, κατά το παρελθόν, ελεύθερη προς χρήση στο Διαδίκτυο. Άλλες προηγμένες λειτουργίες που δεν έχουν ανιχνευθεί ξανά περιλαμβάνουν τη χρήση Υπηρεσιών προσβασιμότητας για την κλοπή μηνυμάτων WhatsApp και τη δυνατότητα σύνδεσης μίας «μολυσμένης» συσκευής σε δίκτυα Wi-Fi που ελέγχονται από τους εισβολείς.
Το εμφύτευμα φέρει πολλαπλά exploits για root access και είναι επίσης σε θέση να τραβά φωτογραφίες και βίντεο, να κατασχέσει εγγραφές κλήσεων, SMS, γεωγραφική θέση, συμβάντα ημερολογίου και πληροφορίες σχετικά με τις επιχειρήσεις που είναι αποθηκευμένες στη μνήμη της συσκευής. Ένα ειδικό χαρακτηριστικό του επιτρέπει να παρακάμπτει μια τεχνική εξοικονόμησης μπαταρίας που εφαρμόζεται από έναν κορυφαίο προμηθευτή συσκευής: το εμφύτευμα προστίθεται στη λίστα των «προστατευμένων εφαρμογών» έτσι ώστε να μην απενεργοποιείται αυτόματα όταν η οθόνη είναι απενεργοποιημένη.
To securelist.com αναφέρει ότι, οι developers του Skygofree έχουν λάβει ειδική μέριμνα έτσι ώστε το malware να εισάγει τον εαυτό του στη λίστα με τα “protected apps” σε smartphone της Huawei, έτσι ώστε να μην απενεργοποιείται από το εξελιγμένο σύστημα εξοικονόμησης ενέργειας που χρησιμοποιεί η εταιρεία στις συσκευές της.
Οι επιτιθέμενοι φαίνεται επίσης να ενδιαφέρονται για τους χρήστες των Windows και οι ερευνητές βρήκαν αρκετές πρόσφατα αναπτυγμένες μονάδες που στοχεύουν αυτήν την πλατφόρμα.
Οι περισσότερες από τις πλαστές σελίδες προορισμού που χρησιμοποιήθηκαν για τη διάδοση του εμφυτεύματος καταγράφηκαν το 2015, όταν σύμφωνα με την τηλεμετρία της Kaspersky Lab η εκστρατεία διανομής ήταν στην πιο ενεργή της φάση. Η εκστρατεία είναι σε εξέλιξη και το πιο πρόσφατο domain καταγράφηκε τον Οκτώβριο του 2017. Τα στοιχεία δείχνουν ότι μέχρι σήμερα έχουν υπάρξει πολλά θύματα, όλα στην Ιταλία.
«Το high-end κακόβουλο mobile λογισμικό είναι πολύ δύσκολο να εντοπιστεί και να εμποδιστεί και οι υπεύθυνοι για την ανάπτυξη πίσω από το Skygofree χρησιμοποίησαν σαφώς αυτό το πλεονέκτημα: δημιουργώντας και εξελίσσοντας ένα εμφύτευμα που μπορεί να κατασκοπεύει εκτενώς τους στόχους χωρίς να προκαλέσει καχυποψία. Δεδομένων των αντικειμένων που ανακαλύψαμε στον κώδικα του κακόβουλου λογισμικού και την ανάλυση της υποδομής του, έχουμε κάθε λόγο να πιστεύουμε ότι ο δημιουργός πίσω από τα εμφυτεύματα Skygofree είναι μια ιταλική εταιρεία πληροφορικής που προσφέρει λύσεις παρακολούθησης, όπως η HackingTeam», δήλωσε ο Alexey Firsh, αναλυτής κακόβουλου λογισμικού, Έρευνα Στοχευμένων Επιθέσεων, Kaspersky Lab.
Οι ερευνητές βρήκαν 48 διαφορετικές εντολές που μπορούν να εφαρμοστούν από τους επιτιθέμενους, επιτρέποντας τη μέγιστη ευελιξία χρήσης.
Για να παραμείνετε προστατευμένοι από τις προηγμένες απειλές mobile κακόβουλου λογισμικού, η Kaspersky Lab συνιστά έντονα την εφαρμογή μιας αξιόπιστης λύσης ασφάλειας που μπορεί να εντοπίσει και να αποκλείσει τέτοιες απειλές σε τερματικά σημεία, όπως το Kaspersky Security for Mobile. Συνιστάται επίσης στους χρήστες να δίνουν προσοχή όταν λαμβάνουν email από άτομα ή οργανισμούς που δεν γνωρίζουν ή με αιφνιδιαστικά αιτήματα ή συνημμένα και να ελέγχουν πάντα την ακεραιότητα και την προέλευση των ιστότοπων πριν κλικάρουν σε links. Σε περίπτωση αμφιβολίας, καλέστε τον πάροχο υπηρεσιών να επαληθεύσει. Οι διαχειριστές συστημάτων, με τη σειρά τους, συμβουλεύονται να ενεργοποιήσουν τη λειτουργία ελέγχου εφαρμογών στις λύσεις ασφάλειας για τις φορητές συσκευές τους για τον έλεγχο πιθανώς επιβλαβών προγραμμάτων που είναι ευάλωτα σε αυτήν την επίθεση.
Η Kaspersky Lab ανιχνεύει τις εκδόσεις Skygofree για Android ως HEUR: Trojan.AndroidOS.Skygofree.a και HEUR: Trojan.AndroidOS.Skygofree.b, και τα δείγματα των Windows ως UDS: DangerousObject.Multi.Generic.
Περισσότερες πληροφορίες, συμπεριλαμβανομένης της λίστας των εντολών του Skygofree, των δεικτών συμβιβασμού, των διευθύνσεων domain και των μοντέλων των συσκευών που στοχεύουν οι ενότητες εκμετάλλευσης του εμφυτεύματος, βρίσκονται στον ειδικό ιστότοπο Securelist.com.
Το Skygofree ονομάστηκε έτσι από ένα domain που χρησιμοποιήθηκε από το malware. Η Kaspersky Lab διευκρινίζει ότι, το κακόβουλο πρόγραμμα δεν έχει καμία σύνδεση με το Sky, το Sky Go ή οποιαδήποτε άλλη θυγατρική του Sky και δεν επηρεάζει την υπηρεσία ή την εφαρμογή Sky Go.