Kaspersky Lab a descoperit Skygofree

Cercetatorii Kaspersky Lab au descoperit un program complex pentru dispozitive mobile, activ inca din 2014 si creat pentru supraveghere cibernetica, fiind probabil un produs de ”securitate ofensiva”. Programul, denumit Skygofree, include o functie nemaiintalnita, aceea de inregistrare audio pe baza geolocatiei victimelor, prin intermediul dispozitivelor infectate. Spyware-ul se raspandeste prin pagini web ce imita activitatea operatorilor de retele mobile.   

 

 

Skygofree este un program spyware sofisticat, pe mai multe niveluri, care le ofera atacatorilor control total de la distanta asupra unui dispozitiv infectat. Acesta a trecut printr-un proces continuu de dezvoltare de cand a fost creata prima versiune, la sfarsitul anului 2014, iar acum poate „sa traga cu urechea” la conversatiile din jur si la zgomot, atunci cand un dispozitiv infectat ajunge intr-un anumit loc – o caracteristica nemaiintalnita anterior. Alte functii avansate si noi sunt folosirea serviciilor de accesibilitate pentru a fura mesaje de pe WhatsApp si abilitatea de a conecta un dispozitiv infectat la retele Wi-Fi controlate de atacatori.

 

Programul contine numeroase exploit-uri pentru acces „root” si poate, de asemenea, sa faca fotografii si materiale video, sa obtina inregistrarile apelurilor, ale SMS-urilor, informatii despre localizarea geografica, despre calendarul de evenimente si informatiile de business pastrate in memoria dispozitivului. O functie speciala ii permite sa evite o tehnica de economisire a bateriei implementata de un important furnizor de dispozitive: programul implantat se adauga singur pe lista ”aplicatiilor protejate”, pentru a nu fi inchis automat atunci cand ecranul este inactiv.

Atacatorii par sa aiba, de asemenea, un interes deosebit pentru utilizatorii de Windows, cercetatorii descoperind recent un numar de module care tintesc aceasta platforma.

Cele mai multe dintre landing page-urile falsificate folosite pentru raspandirea acestui program au fost inregistrate in 2015, atunci cand, conform datelor de telemetrie ale Kaspersky Lab, campania de distribuire a fost cea mai activa. Campania este in desfasurare, iar cel mai recent domeniu a fost inregistrat in octombrie 2017. Datele indica faptul ca au existat mai multe victime pana in prezent, toate in Italia.

”Malware-ul complex pentru dispozitive mobile este foarte dificil de identificat si de blocat, iar creatorii Skygofree au folosit acest lucru in avantajul lor: crearea si dezvoltarea unui program prin care sa poata spiona victimele fara a trezi suspiciuni” spune Alexey Firsh, Malware Analyst, Targeted Attacks Research la Kaspersky Lab. ”Tinand cont de artefactele pe care le-am descoperit in codul acestui malware si de analiza infrastructurii, avem motive intemeiate sa credem ca dezvoltatorul Skygofree este o companie IT din Italia care ofera solutii de supraveghere, in genul HackingTeam. ”

Cercetatorii au gasit 48 de comenzi diferite care pot fi implementate de atacatori, permitand o flexibilitate maxima in utilizare.

 

Pentru protectia impotriva amenintarilor avansate de tipul malware-ului pentru dispozitive mobile,  Kaspersky Lab recomanda implementarea unei solutii de securitate eficiente care poate identifica si bloca asemenea amenintari pe dispozitivele folosite – o solutie precum Kaspersky Security for Mobile. Utilizatorii sunt sfatuiti, de asemenea, sa fie prevazatori atunci cand primesc e-mail-uri de la persoane sau organizatii pe care nu le cunosc sau care au cereri neasteptate sau fisiere anexate si intotdeauna sa verifice integritatea si originea site-urilor, inante de a da click pe link-urile primite. Daca au dubii, ar trebui sa ceara ajutorul furnizorului de servicii. Administratorii de sistem, la randul lor, sunt sfatuiti sa activeze functia Application Control din solutiile de securitate mobile, pentru a controla programele posibil daunatoare, vulnerabile la acest atac.

 

Kaspersky Lab detecteaza versiunile Skygofree pentru Android precum HEUR:Trojan.AndroidOS.Skygofree.a si HEUR:Trojan.AndroidOS.Skygofree.b, iar mostrele Windows precum UDS:DangerousObject.Multi.Generic.

 

Mai multe informatii, printre care o lista a comenzilor Skygofree, indicatorii de compromitere, adresele domeniilor si modelele dispozitivelor vizate de modulele exploit-ului din programul implantat pot fi gasite pe Securelist.com.

Nota

Skygofree este denumit astfel pentru ca aceste cuvant a fost folosit pe unul dintre domenii. Programul malware nu are nicio legatura cu Sky, Sky Go sau alta subsidiara a Sky si nu afecteaza serviciul sau aplicatia Sky Go.

Submit your comment

Please enter your name

Your name is required

Please enter a valid email address

An email address is required

Please enter your message

*

ITChannel © 2018 All Rights Reserved

Designed by Iustin Vadana