Ricercatori nel campo della sicurezza informatica di Kasperksy Labs (Nikita Buchka e Alexey Firsh) hanno divulgato la scoperta di un nuovo tipo di spyware per Android chiamato “Skygofree” dotato di “capacità di sorveglianza mai viste prima” sui dispositivi mobili e offerto anche in una variante per i sistemi Windows di Microsoft.
Osservato per la prima volta a Ottobre 2017, secondo i risercatori però le origini e lo sviluppo prolungato di questo malware è databile almeno dal 2014 in avanti, con molte caratteristiche “innovative” sviluppate man mano.
Un aspetto curioso è anche dato dal fatto che secondo Buchka e Firsh, come hanno scritto nella loro analisi, la presenza di alcuni artefatti e altri aspetti della struttura stessa del software scoperti nel codice del malware, sembra che la casa autrice di questo tool possa essere una compagnia italiana nel settore della sicurezza IT, ricordando e citando anche il caso di HackingTeam.
Tra le caratteristiche che lo rendono così particolare sono citate anche:
- L’utilizzo di exploit multipli per ottenere i privilegi di root;
- Una struttura di payload complessa;
- Funzionalità di registrazione dell’audio nei dintorni del dispositivo infettato
- Lo sviluppo prolungato sottolinerebbe la capacità di mutare e di aumentare le opzioni e canali di aggressione a disposizione del software in questione.
- Gli eventuali “aggressori” possono controllare il tool da remoto via http, XMPP, SMS binari e il protocollo FirebaseCloudMessaging , tutti in grado di inviare comandi per attivare la registrazione audio, il furto di file da altre applicazioni, attivare il Wi-Fi e connettersi a reti Wi-Fi compromesse, cattura di immagini e video dalle fotocamere a bordo del dispositivo, ecc.
Lo spyware è codificato per avere come bersaglio anche i dati dai messaggi criptati di servizi di Instant Messaging come LINE, Facebook Messenger, WhatsApp e Viber. Kaspersky fa notare come il software tenti di ingannare l’utente affinchè attivi i Servizi di Accessibilità che permetterebbero poi al malware di leggere il contenuto dello schermo, incluse le chat criptate.
La variante per Windows
La versione per i sistemi operativi Microsoft è scritta in Python ma è in grado di girare anche se nel sistema non è pre-installata il pacchetto con i binari dell’interprete Python stesso.
La versione per Windows inoltre è in grado di aprire socket di rete e connettersi a server remoti a cui inviare file sottratti dal sistema – sono presenti moduli per raccogliere la struttura del filesystem, registrazioni audio, dati sottratti mediante una funzionalità di tipo “keylogger”, cattura di schermate e registrazioni anche di chiamate Skype.
Veicolo di infezione
Al momento i ricercatori Kaspersky non hanno trovato evidenza che tale malware sia diffuso in questo momento in qualche campagna d’attacco in corso, avendolo trovato solo in alcune landing page di phishing a danno di alcuni operatori mobili, dove si ha il download automatico dell’APK con il contenuto malevolo e che un eventuale ignaro visitatore sarebbe indotto a installare sul proprio cellulare.
La presenza di questo tipo di pagine le rende perfette per eventuali attacchi tramite un malizioso reindirizzamento o un attacco “man in the middle” ai danni di un Wi-Fi compromesso e controllato dagli hacker dietro Skygofree, tramite DNS poisoning e tecniche simili.
Al momento (per fortuna) non sono state rinvenute applicazioni sul Google Play Store contenenti questo malware e che quindi deve essere installato con la collaborazione involontaria della vittima, tramite phishing o social ingeneering.
Fonte: TechTarget e Kaspersky Labs