A fost descoperit un virus „special“ de Android, care te ascultă prin telefon fără ca tu să îţi dai seama

Cercetătorii Kaspersky Lab au descoperit un program complex pentru dispozitive mobile, activ încă din 2014 şi creat pentru supraveghere cibernetică, fiind probabil un produs de „securitate ofensivă”.

Programul, denumit Skygofree, include o funcţie nemaiîntâlnită, aceea de înregistrare audio pe baza geolocaţiei victimelor, prin intermediul dispozitivelor infectate. Spyware-ul se răspândeşte prin pagini web ce imită activitatea operatorilor de reţele mobile.

Skygofree este un program spyware sofisticat, pe mai multe niveluri, care le oferă atacatorilor control total de la distanţă asupra unui dispozitiv infectat. Acesta a trecut printr-un proces continuu de dezvoltare de când a fost creată prima versiune, la sfârşitul anului 2014, iar acum include funcţia de ”a trage cu urechea” la conversaţiile din jur şi la zgomot atunci când un dispozitiv infectat ajunge într-un anumit loc - o caracteristică nemaiîntâlnită anterior.

Alte funcţii avansate şi noi sunt folosirea serviciilor de accesibilitate pentru a fura mesaje de pe WhatsApp şi abilitatea de a conecta un dispozitiv infectat la reţele Wi-Fi controlate de atacatori.

Programul conţine numeroase exploit-uri pentru acces „root” şi poate, de asemenea, să facă fotografii şi materiale video, să obţină înregistrările apelurilor, ale SMS-urilor, informaţii despre localizarea geografică, despre calendarul de evenimente şi informaţiile de business păstrate în memoria dispozitivului. O funcţie specială îi permite să evite o tehnică de economisire a bateriei implementată de un important furnizor de dispozitive: programul implantat se adaugă singur pe lista ”aplicaţiilor protejate”, pentru a nu fi închis automat atunci când ecranul este inactiv.

Atacatorii par să aibă, de asemenea, un interes deosebit pentru utilizatorii de Windows, cercetătorii descoperind recent un număr de module care ţintesc această platformă.

Cele mai multe dintre landing page-urile falsificate folosite pentru răspândirea acestui program au fost înregistrate în 2015, atunci când, conform datelor de telemetrie ale Kaspersky Lab, campania de distribuire a fost cea mai activă. Campania este în desfăşurare, iar cel mai recent domeniu a fost înregistrat în octombrie 2017. Datele indică faptul că au existat mai multe victime până în prezent, toate în Italia.

Cercetătorii au găsit 48 de comenzi diferite care pot fi implementate de atacatori, permiţând o flexibilitate maximă în utilizare.

Pentru protecţia împotriva ameninţărilor avansate de tipul malware-ului pentru dispozitive mobile,  Kaspersky Lab recomandă implementarea unei soluţii de securitate eficiente care poate identifica şi bloca asemenea ameninţări pe dispozitivele folosite.

Utilizatorii sunt sfătuiţi, de asemenea, să fie prevăzători atunci când primesc e-mail-uri de la persoane sau organizaţii pe care nu le cunosc sau care au cereri neaşteptate sau fişiere anexate şi întotdeauna să verifice integritatea şi originea site-urilor, înante de a da click pe link-urile primite. Dacă au dubii, ar trebui să ceară ajutorul furnizorului de servicii. Administratorii de sistem, la rândul lor, sunt sfătuiţi să activeze funcţia Application Control din soluţiile de securitate mobile, pentru a controla programele posibil dăunătoare, vulnerabile la acest atac.

Kaspersky Lab detectează versiunile Skygofree pentru Android precum HEUR:Trojan.AndroidOS.Skygofree.a şi HEUR:Trojan.AndroidOS.Skygofree.b, iar mostrele Windows precum UDS:DangerousObject.Multi.Generic.

Mai multe informaţii, printre care o listă a comenzilor Skygofree, indicatorii de compromitere, adresele domeniilor şi modelele dispozitivelor vizate de modulele exploit-ului din programul implantat pot fi găsite pe Securelist.com.