Οι ερευνητές της Kaspersky Lab έχουν αποκαλύψει ένα προηγμένο mobile εμφύτευμα, ενεργό από το 2014 και σχεδιασμένο για στοχευμένη ψηφιακή παρακολούθηση, ενδεχομένως ως προϊόν «επιθετικής ασφάλειας». Το εμφύτευμα, το οποίο ονομάζεται Skygofree, περιλαμβάνει λειτουργικότητα που δεν έχει παρατηρηθεί ελεύθερη στο Διαδίκτυο κατά το παρελθόν, όπως η εγγραφή ήχου βάσει τοποθεσίας μέσω «μολυσμένων» συσκευών. Το spyware εξαπλώνεται μέσω ιστοσελίδων που μιμούνται κορυφαίους διαχειριστές φορητών δικτύων.
Το Skygofree είναι ένα εξελιγμένο spyware πολλαπλών σταδίων που δίνει στους επιδρομείς πλήρη απομακρυσμένο έλεγχο μίας «μολυσμένης» συσκευής. Έχει υποβληθεί σε συνεχή εξέλιξη από τότε που δημιουργήθηκε η πρώτη έκδοση στα τέλη του 2014 και πλέον περιλαμβάνει την ικανότητα να παρακολουθεί τις περιβάλλουσες συνομιλίες και τον θόρυβο όταν μια «μολυσμένη» συσκευή εισέρχεται σε μια συγκεκριμένη τοποθεσία – μια λειτουργία που δεν έχουν συναντήσει κατά το παρελθόν ελεύθερη στο Διαδίκτυο. Άλλες προηγμένες λειτουργίες που δεν έχουν συναντήσει ξανά περιλαμβάνουν τη χρήση Υπηρεσιών προσβασιμότητας για την κλοπή μηνυμάτων WhatsApp και τη δυνατότητα σύνδεσης μίας «μολυσμένης» συσκευής σε δίκτυα Wi-Fi που ελέγχονται από τους εισβολείς.
Το εμφύτευμα φέρει πολλαπλά exploits για root access και είναι επίσης σε θέση να τραβά φωτογραφίες και βίντεο, να κατασχέσει εγγραφές κλήσεων, SMS, γεωγραφική θέση, συμβάντα ημερολογίου και πληροφορίες σχετικά με τις επιχειρήσεις που είναι αποθηκευμένες στη μνήμη της συσκευής. Ένα ειδικό χαρακτηριστικό του επιτρέπει να παρακάμπτει μια τεχνική εξοικονόμησης μπαταρίας που εφαρμόζεται από έναν κορυφαίο προμηθευτή συσκευής: το εμφύτευμα προστίθεται στη λίστα των «προστατευμένων εφαρμογών» έτσι ώστε να μην απενεργοποιείται αυτόματα όταν η οθόνη είναι απενεργοποιημένη .
Οι επιτιθέμενοι φαίνεται επίσης να ενδιαφέρονται για τους χρήστες των Windows και οι ερευνητές βρήκαν αρκετές πρόσφατα αναπτυγμένες μονάδες που στοχεύουν αυτήν την πλατφόρμα.
Οι περισσότερες από τις πλαστές σελίδες προορισμού που χρησιμοποιήθηκαν για τη διάδοση του εμφυτεύματος καταγράφηκαν το 2015, όταν σύμφωνα με την τηλεμετρία της Kaspersky Lab η εκστρατεία διανομής ήταν στην πιο ενεργή της φάση. Η εκστρατεία είναι σε εξέλιξη και το πιο πρόσφατο domain καταγράφηκε τον Οκτώβριο του 2017. Τα στοιχεία δείχνουν ότι μέχρι σήμερα έχουν υπάρξει πολλά θύματα, όλα στην Ιταλία.
«Το high–end κακόβουλο mobile λογισμικό είναι πολύ δύσκολο να εντοπιστεί και να εμποδιστεί και οι υπεύθυνοι για την ανάπτυξη πίσω από το Skygofree χρησιμοποίησαν σαφώς αυτό το πλεονέκτημα: δημιουργώντας και εξελίσσοντας ένα εμφύτευμα που μπορεί να κατασκοπεύει εκτενώς τους στόχους χωρίς να προκαλέσει καχυποψία. Δεδομένων των αντικειμένων που ανακαλύψαμε στον κώδικα του κακόβουλου λογισμικού και την ανάλυση της υποδομής του, έχουμε κάθε λόγο να πιστεύουμε ότι ο δημιουργός πίσω από τα εμφυτεύματα Skygofree είναι μια ιταλική εταιρεία πληροφορικής που προσφέρει λύσεις παρακολούθησης, όπως η HackingTeam», δήλωσε ο Alexey Firsh, αναλυτής κακόβουλου λογισμικού, Έρευνα Στοχευμένων Επιθέσεων, Kaspersky Lab.
Οι ερευνητές βρήκαν 48 διαφορετικές εντολές που μπορούν να εφαρμοστούν από τους επιτιθέμενους, επιτρέποντας τη μέγιστη ευελιξία χρήσης.
Για να παραμείνετε προστατευμένοι από τις προηγμένες απειλές mobile κακόβουλου λογισμικού, η Kaspersky Lab συνιστά έντονα την εφαρμογή μιας αξιόπιστης λύσης ασφάλειας που μπορεί να εντοπίσει και να αποκλείσει τέτοιες απειλές σε τερματικά σημεία, όπως το Kaspersky Security for Mobile. Συνιστάται επίσης στους χρήστες να δίνουν προσοχή όταν λαμβάνουν email από άτομα ή οργανισμούς που δεν γνωρίζουν ή με αιφνιδιαστικά αιτήματα ή συνημμένα και να ελέγχουν πάντα την ακεραιότητα και την προέλευση των ιστότοπων πριν κλικάρουν σε links. Σε περίπτωση αμφιβολίας, καλέστε τον πάροχο υπηρεσιών να επαληθεύσει. Οι διαχειριστές συστημάτων, με τη σειρά τους, συμβουλεύονται να ενεργοποιήσουν τη λειτουργία ελέγχου εφαρμογών στις λύσεις ασφάλειας για τις φορητές συσκευές τους για τον έλεγχο πιθανώς επιβλαβών προγραμμάτων που είναι ευάλωτα σε αυτήν την επίθεση.
Η Kaspersky Lab ανιχνεύει τις εκδόσεις Skygofree για Android ως HEUR: Trojan.AndroidOS.Skygofree.a και HEUR: Trojan.AndroidOS.Skygofree.b, και τα δείγματα των Windows ως UDS: DangerousObject.Multi.Generic.
Περισσότερες πληροφορίες, συμπεριλαμβανομένης της λίστας των εντολών του Skygofree, των δεικτών συμβιβασμού, των διευθύνσεων domain και των μοντέλων των συσκευών που στοχεύουν οι ενότητες εκμετάλλευσης του εμφυτεύματος, βρίσκονται στον ειδικό ιστότοπο Securelist.com.
Σημείωση: Το Skygofree ονομάζεται έτσι επειδή η λέξη χρησιμοποιήθηκε σε ένα από τα domains. Το κακόβουλο πρόγραμμα δεν έχει καμία σύνδεση με το Sky, το Sky Go ή οποιαδήποτε άλλη θυγατρική του Sky και δεν επηρεάζει την υπηρεσία ή την εφαρμογή Sky Go.