Badacze z Kaspersky Lab wykryli zaawansowany mobilny szkodliwy program, który jest aktywny od 2014 r. i został stworzony do celów inwigilacji, prawdopodobnie jako produkt „ofensywnego bezpieczeństwa”. Program o nazwie Skygofree zawiera funkcjonalność, jakiej nie posiadał wcześniej żaden inny szkodnik występujący „na wolności”,na przykład oparte na lokalizacji nagrywanie dźwięku przy użyciu zainfekowanych urządzeń.
Narzędzie szpiegowskie jest rozprzestrzeniane za pośrednictwem stron internetowych podszywających się pod czołowych operatorów sieci mobilnych na świecie.
Skygofree to wyrafinowane, działające wieloetapowo oprogramowanie szpiegujące, które zapewnia atakującym pełną zdalną kontrolę nad zainfekowanym urządzeniem. Od czasu powstania pierwszej wersji pod koniec 2014 r. program ten był nieustannie rozwijany i obecnie umożliwia podsłuchiwanie prowadzonych w pobliżu rozmów oraz dźwięków po znalezieniu się zainfekowanego urządzenia w określonej lokalizacji – tego rodzaju funkcji nie zaobserwowano wcześniej w oprogramowaniu tego typu. Inne zaawansowane, niespotkane wcześniej funkcje obejmują wykorzystywanie usług dostępności w celu kradzieży wiadomości z komunikatora WhatsApp oraz możliwość połączenia zainfekowanego urządzenia z kontrolowaną przez atakujących siecią Wi-Fi.
Skygofree zawiera wiele szkodliwych narzędzi (tzw. exploitów) umożliwiających uzyskanie dostępu z prawami administratora, a także potrafi wykonywać zdjęcia i kręcić filmy, przechwytywać rejestry połączeń, SMS-y, geolokalizację, wydarzenia z kalendarza oraz przechowywane w pamięci urządzenia informacje związane z działalnością biznesową. Specjalna funkcja pozwala mu obejść technikę oszczędzania baterii, zastosowaną przez jednego z czołowych producentów smartfonów: szkodnik dodaje się do listy „chronionych aplikacji”, dzięki czemu nie jest automatycznie wyłączany wraz z wygaszeniem ekranu.
Wydaje się, że atakujący są również zainteresowani użytkownikami systemu Windows – badacze z Kaspersky Lab znaleźli wiele opracowanych niedawno modułów atakujących tę platformę.
Większość spreparowanych stron docelowych wykorzystywanych do rozprzestrzeniania szkodnika zarejestrowano w 2015 r., kiedy to, według telemetrii Kaspersky Lab, prowadzono najaktywniejszą kampanię dystrybucyjną. Kampania ta nadal jest aktywna, a najnowsza domena została zarejestrowana w październiku 2017 r. Według danych jest już kilka ofiar, wszystkie we Włoszech.
– Wysokiej jakości mobilne szkodliwe oprogramowanie jest bardzo trudne do zidentyfikowania i zablokowania, co wyraźnie wykorzystali twórcy Skygofree, rozwijając i usprawniając narzędzie, które potrafi skutecznie szpiegować swoje cele bez wzbudzania podejrzeń. Na podstawie śladów wykrytych w kodzie szkodliwego oprogramowania oraz przeprowadzonej przez nas analizy infrastruktury atakujących jesteśmy niemal pewni, że twórcą implantów Skygofree jest włoska firma IT, która oferuje rozwiązania inwigilujące przypominające produkty HackingTeam – powiedział Alex Firsh, analityk szkodliwego oprogramowania, Kaspersky Lab.
Badacze znaleźli 48 różnych poleceń, które mogą zostać wykorzystane przez atakujących i znacząco zwiększają zakres możliwości szkodnika.
Aby uzyskać ochronę przed zaawansowanymi mobilnymi szkodliwymi programami, Kaspersky Lab zaleca stosowanie niezawodnego rozwiązania bezpieczeństwa, które potrafi zidentyfikować i zablokować tego rodzaju zagrożenia na punktach końcowych, takiego jak np. Kaspersky Security for Mobile. Użytkownikom zaleca się ponadto zachowanie ostrożności w przypadku otrzymania e-maili od nieznanych osób i organizacji lub wiadomości, które zawierają nieoczekiwane prośby lub załączniki – i dokładne sprawdzenie legalności oraz pochodzenia stron internetowych przed kliknięciem jakichkolwiek odsyłaczy. W razie wątpliwości należy skontaktować się z dostawcą usług w celu weryfikacji. Administratorzy powinni włączyć funkcję kontroli aplikacji w swoich rozwiązaniach bezpieczeństwa mobilnego w celu kontrolowania potencjalnie szkodliwych programów podatnych na tego rodzaju atak.
Produkty Kaspersky Lab wykrywają wersje szkodnika Skygofree dla Androida jako HEUR:Trojan.AndroidOS.Skygofree.a oraz HEUR:Trojan.AndroidOS.Skygofree.b. Wersje dla systemu Windows są wykrywane jako UDS:DangerousObject.Multi.Generic.