Skygofree: programska oprema, ki vohuni za uporabniki androidnih telefonov

18.01.2018
Objavil: Dare Gliha

Raziskovalci družbe Kaspersky Lab so odkrili programsko opremo za vohunjenje Skygofree. Gre za »mobilni vsadek«, ki deluje že od leta 2014 in je zasnovan za ciljan spletni nadzor.

Skygofree vključuje funkcionalnosti, ki doslej v prosti uporabi še niso bile opažene, kot na primer zvočno snemanje preko okužene naprave, ko je ta na določeni lokaciji. Razširja se preko spletnih strani, ki posnemajo spletna mesta vodilnih mobilnih operaterjev.

Skygofree je napredna večstopenjska programska oprema za vohunjenje, ki napadalcem omogoča popoln oddaljen dostop do okužene naprave. Od prve različice, ki je bila ustvarjena leta 2014, se je Skygofree nenehno nadgrajeval. Danes vključuje zmožnost prisluškovanja, ko je okužena naprava na določeni lokaciji. Gre za značilnost, ki prej še ni bila opažena na prostem. Med drugimi naprednimi in prej neopaženimi lastnostmi sta še uporaba storitev za pomoč ljudem s posebnimi potrebami (angl. Accesibility Services) za krajo sporočil v aplikaciji WhatsApp in zmožnost povezave okužene naprave z brezžičnimi omrežji, ki jih nadzorujejo napadalci.

Poleg tega Skygofree povzroča več ranljivosti naprave, preko katerih omogoča korenski dostop. Zmožen je fotografiranja in snemanja video posnetkov ter pridobivanja izpiska klicev, vsebine kratkih sporočil, geografske lokacije, dogodkov na koledarju in poslovnih informacij, ki so shranjene v pomnilniku naprave. Posebna lastnost mu omogoča, da zaobide funkcijo varčevanja z energijo, ki jo je namestil proizvajalec naprave. Skygofree se umesti na seznam 'zaščitenih aplikacij', ki se ob uganjenem zaslonu samodejno ne izklopijo.

Napadalci v ozadju te programske opreme kažejo tudi interes za uporabnike programskega okolja Windows. Raziskovalci so namreč našli številne pred kratkim razvite module, ki ciljajo omenjeno platformo.

Večina lažnih spletnih mest, ki so bile uporabljene za širjenje te programske opreme, je bilo registriranih v letu 2015. Kot kažejo podatki telemetrije družbe Kaspersky Lab, so bile takrat dejavnosti za razširjanje najbolj aktivne. Skygofree se še vedno razširja, saj je bila zadnja domena lažnega spletnega mesta registrirana v oktobru 2017. Podatki kažejo, da je bilo do danes več žrtev, vse iz Italije.
»Visokokakovostno mobilno zlonamerno programsko opremo je zelo težko identificirati in blokirati. Razvijalci Skygofree so to dejstvo uporabili v svojo prid. Ustvarili in razvili so programsko opremo, ki lahko obširno vohuni za žrtvami in pri tem ne vzbuja suma. Glede na artefakte, ki smo jih odkrili v kodi zlonamerne programske opreme, in našo analizo infrastrukture je bolj verjetno, da je razvijalec italijansko podjetje, ki ponuja storitve za nadzor, in ne skupina hekerjev,« je povedal Alexey Firsh, analitik zlonamerne programske opreme na področju raziskovanja usmerjenih napadov v družbi Kaspersky Lab.

Raziskovalci so odkrili 48 različnih ukazov, ki jih napadalci lahko izvršijo. S tem imajo napadalci veliko fleksibilnost pri uporabi programske opreme.

Za zaščito pred naprednimi grožnjami zlonamerne programske opreme za mobilna okolja družba Kaspersky Lab priporoča uporabo zanesljive varnostne rešitve, ki lahko prepozna in blokira tovrstne grožnje na končnih točkah. Takšen primer je 'Kaspersky Security for Mobile'. Uporabniki morajo biti pazljivi pri prejemanju elektronske pošte od ljudi ali organizacij, ki jih ne poznajo, ali sporočil, ki vsebujejo nepričakovane prošnje ali priponke. Prav tako naj dvakrat preverijo pristnost in izvor določenega spletnega mesta predno kliknejo na povezavo. Sistemski administratorji naj v mobilni varnostni rešitvi omogočijo funkcijo nadzora aplikacij (angl. Application Control) in tako nadzorujejo morebitne škodljive programe.

Družba Kaspersky Lab zazna verziji Skygofree za operacijski sistem android kot 'HEUR:Trojan.AndroidOS.Skygofree.a' in 'HEUR:Trojan.AndroidOS.Skygofree.b' ter različico programsko okolje Windows kot 'UDS:DangerousObject.Multi.Generic'.