Skygofree je pokročilý sledovací malvér zameraný na mobilné zariadenia, ktorý je podľa zistení Kaspersky Lab aktívny už od roku 2014. Pôvodne bol navrhnutý ako produkt na cielené kybernetické útoky založené na nepretržitom sledovaní obete, príp. ako ofenzívny bezpečnostný produkt. Obsahuje funkcionality, ktoré sa podľa expertov doteraz bežne nevyskytovali v kybernetickom priestore, ako napr. vytváranie zvukových záznamov prostredníctvom mobilných zariadení, ktoré sa aktivuje na základe polohy. Tento špionážny malvér – spyware – sa šíri cez webové stránky, ktoré imitujú oficiálne weby mobilných operátorov.
Skygofree je sofistikovaný, viacstupňový spyware, ktorý dovoľuje útočníkovi získať plnú kontrolu nad infikovaným zariadením. Od svojej prvej verzie v roku 2014 prešiel významným vývojom, v súčasnosti je schopný odpočúvať všetky konverzácie a šumy v okolí zariadenia v momente, keď sa ocitne na špecifickom mieste (odpočúvanie založené na polohe). Ide o funkciu, ktorá sa doteraz bežne voľne nevyskytovala. Medzi ďalšiu z unikátnych funkcií tohto spywaru je využívanie tzv. služieb dostupnosti (Accessibility Services) na nelegálne získanie obsahu z WhatsApp konverzácií, ako aj schopnosť pripojiť napadnuté zariadenie do Wi-Fi siete kontrolovanej útočníkmi.
Tento špionážny mobilný malvér nesie viacero exploitov na získanie najvyšších oprávnení a je tiež schopný vytvárať fotografie a natáčať videá, zachytávať telefónne záznamy, SMS správy, určovať polohu tzv. geolokáciu, kradnúť záznamy udalostí z kalendárov či cenné informácie pracovného alebo obchodného charakteru uložené v pamäti zariadenia. Skygofree používa proti špeciálnej funkcii Androidu na vypnutie nečinných aplikácií mechanizmus s falošnými notifikáciami o aktualizácii, a tak ostáva aktívny aj po automatickom vypnutí obrazovky.
Podľa všetkého sa útočníci zameriavajú aj na používateľov operačného systému Windows, o čom svedčia aj najnovšie zistenia bezpečnostných analytikov.
Väčšina falošných webových stránok využívaných na šírenie tohto spywaru bola zaregistrovaná v roku 2015, kedy prebiehala podľa telemetrických zistení Kaspersky Lab najaktívnejšia distribučná kampaň. Najnovšia doména bola zaregistrovaná len nedávno – v októbri 2017, čo svedčí o tom, že útočníci v kampani pokračujú. Z analyzovaných dát bolo identifikovaných niekoľko obetí, všetky pochádzali z Talianska.
„Je mimoriadne náročné identifikovať a blokovať špičkový mobilný malvér, tento fakt nepochybne využili vo svoj prospech aj vývojári spywaru Skygofree. Na tomto základe postavili celý vývoj tohto škodlivého implantátu, ktorý je schopný vykonávať nepretržité špionážne aktivity bez najmenšieho podozrenia. Na základe výsledkov z nášho výskumu, artefaktov objavených v malvérových kódoch, ako aj z analýzy infraštruktúry vieme takmer s istotou povedať, že za Skygofree nemusí byť nikto z hackerskej komunity. Autorom je pravdepodobne technologická spoločnosť pochádzajúca z Talianska, ktorá ponúka riešenia určené na sledovanie, niečo ako HackingTeam,“ povedal Alexey Firsh, malvérový analytik, Výskum cielených útokov, Kaspersky Lab.
Experti odhalili 48 rôznych príkazov, ktoré môžu byť implementované útočníkmi, čo im umožňuje maximálnu flexibilitu použitia.
Ak sa chcete ochrániť pred pokročilými malvérovými hrozbami, bezpečnostní experti z Kaspersky Lab odporúčajú:
- zavedenie spoľahlivých bezpečnostných riešení, ktoré dokážu odhaliť a blokovať tieto typy hrozieb na koncových bodoch, ako je napr. aj Kaspersky Security for Mobile;
- používateľom sa ďalej odporúča, aby zbystrili pozornosť pri akejkoľvek podozrivej emailovej správe od neznámeho zdroja, resp. pri správach, ktoré obsahujú neštandardné požiadavky alebo podozrivé prílohy;
- rovnako sa odporúča dvojitá kontrola integrity a pôvodu webovej stránky predtým, než klikneme na neznámy link na ňu odkazujúci;
- v prípade pochybností sa odporúča okamžite kontaktovať poskytovateľa služieb a preveriť podozrivé aktivity
- systémovým administrátorom sa odporúča zapnúť funkciu kontroly aplikácií (Application Control functionality) v antivírových programoch pre mobilné zariadenia, aby bolo možné vykonať skening programov s potenciálnym rizikom, ktoré by mohli vytvárať zraniteľnosti.
Spoločnosť Kaspersky Lab detetekovala Skygofree verzie pre Android ako HEUR:Trojan.AndroidOS.Skygofree.a andHEUR:Trojan.AndroidOS.Skygofree.b, a Windows vzorky ako UDS:DangerousObject.Multi.Generic.
