Skygofree: Izuzetno napredan i moćan Android sistem za nadzor, aktivan od 2014. godine

kaspersky lab

Istraživači kompanije Kaspersky Lab otkrili su napredni mobilni implantat, koji je aktivan od 2014. godine i dizajniran za ciljani sajber nadzor, kao „ofanzivni beznednosni proizvod”. Neke od funkcionalsti koje su sadržane u implantatu pod nazivom Skygofree, nikada do sada nisu viđene, kao što su, na primer, lokaciono audio snimanje kroz inficirane uređaje. Ovaj program za špijuniranje, širi se kroz veb stranice imitirajući neke od vodećih mobilnih operatera.

 

Skygofreee je sofisiciran program za špijunažu koji funkcionliše u više faza i napadačima daje potpunu daljinsku kontrolu nad zaraženim uređajem. Ovaj program je kontinuirano razvijan od prve verzije, koja je kreirana krajem 2014. godine i sada poseduje mogućnost da prisluškuje razgovore i zvuke iz okoline kada se zaraženi uređaj nađe na ciljanoj lokaciji, što do sada nije bilo poznato. Ostale napredne i do sada nepoznate karakteristike ovog programa obuhvataju i korišćenje servisa za pristupačnost (Accessibility Services) za krađu WhatsApp poruka, kao i mogućnost da se zaraženi uređaj poveže na Wi-Fi mreže koje kontrolišu napadači.

 

Implantat koji u sebi nosi i višestruke eksploite za pristup, sposoban je i da pravi fotografije i video snimke, pristupi istoriji poziva, SMS porukama, geolokaciji, događajima u kalendaru, kao i poslovnim informacijama koje se čuvaju u memoriji uređaja. Specijalna sposobnost mu omogućava da „zaobiđe” modul za štednju baterije koji ugrađuje proizvođač: implantat sam sebe doda na listu „zaštićenih aplikacija”, tako da se ne gasi automatski kada je ekran ugašen.

Takođe, čini se da su napadači posebno zainteresovani za korisnike operativnog sistema Windows, a istraživači su pronašli veliki broj modula koji su razvijeni u poslednje vreme i koji targetiraju ovu platformu.

Većina lažnih reklamnih stranica koje bivaju korišćene za distribuciju ovog imlantata registrovane su u 2015. godini kada je, kako otkrivaju istraživači kompanije Kaspersky Lab, njegovo širenje doseglo najviši nivo. Kampanja je u toku, a poslednji domen je registrovan u oktobru 2017. Podaci pokazuju da je do sada bilo nekoliko žrtava, sve registrovane u Italiji.

 Malvere koji pogađaju uređaje vrhunskog kvaliteta veoma je teško otkriti i blokirati, a programeri koji su razvili Skygofree upravo su to iskoristili u svoju korist: stvorili su i razvili implantat koji može obimno da špijunira mete bez podsticanja sumnje. Uzevši u obzir artifakte koje smo otkrili u kodu malvera i našu analizu infrastrukture programa, sa velikim samopouzdanjem možemo reći da iza razvitka Skygofree implantata stoji italijanska IT kompanija koja nudi rešenja za nadzor, nalik HackingTeam grupi“ – rekao je Aleksej Firš (Alexey Firsh), malver analitičar i član sektora za ciljane napade u kompaniji Kaspersky Lab.

Istraživači su otkrili 48 različitih komandi koje napadači mogu implementirati u cilju postizanja maksimalne fleksibilnosti korišćenja.

Kako biste se zaštitili od pretnji naprednih mobilnih malvera, kompanija Kaspersky Lab preporučuje upotrebu pouzdanog bezbednosnog rešenja, koje će moći da otkrije i blokira ovakvu vrstu pretnji na uređajima koji su predviđeni za krajnje korisnike, kao što je Kaspersky Security for Mobile. Korisnicima se takođe savetuje i da obrate posebnu pažnju pri otvaranju neočekivanih i-mejlova, zahteva i dokumenta u prilozima koji stignu od ljudi ili organzacija koje ne poznaju, kao i da uvek provere ispravnost i poreklo veb stranica pre nego što kliknu na linkove. Ukoliko imate neku neodumicu, pozovite vašeg operatera internet usluga radi provere. Kada se radi o sistemskim administratorima, savetuje se uključivanje funkcionalnosti za kontrolu aplikacija (Application Control functionality) na bezbednosnom rešenju koje koriste, kako bi imali kontrolu nad potencijalno opasnim programima u ovoj vrsti napada.

Kompanija Kaspersky Lab otkriva verzije programa Skygofree za Android kao HEUR:Trojan.AndroidOS.Skygofree.a i HEUR:Trojan.AndroidOS.Skygofree.b, a za operativni sistem Windows kao UDS:DangerousObject.Multi.Generic.

 

Više informacija, kao i listu komandi Skygofree virusa, indikatore kompromisa (IOC), adrese domena i modele uređaja koji su na meti eksploit modula implantata – možete pronaći na Securelist.com.

 

Skygofree je tako imenovan, jer je ta reč korišćena u jednom od domena. Malver nije ni u kakvoj vezi sa nazivima Sky, Sky Go ili bilo kakvim ogrankom Sky-a, i ne dovodi se u vezu sa uslugom ili aplikacijom Sky Go.