Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Skygofree: spyware per Android prende di mira utenti in Italia

dispositivi mobili  Skygofree  spyware   martedì, 16 gennaio 2018

All’inizio di ottobre 2017 i ricercatori di sicurezza di Kaspersky Lab hanno scoperto uno spyware per sistemi Android con caratteristiche tali da farlo ritenere uno dei più avanzati strumenti di sorveglianza per dispositivi mobili finora individuato in-the-wild, con capacità di spionaggio mai viste prima in malware di questo tipo.

Questo spyware, denominato dagli scopritori Skygofree, è in grado, tra le altre cose, di registrare l’audio ambientale mediante il microfono incorporato nel dispositivo, quando questo si trova in luoghi specifici. Inoltre, il malware può estrarre dal dispositivo infetto il contenuto dei messaggi di WhatsApp e di altre app (tra cui LINE, Facebook Messenger, Facebook e Viber) sfruttando le funzioni per l’accessibilità e ha la capacità di connettersi automaticamente a reti Wi-Fi controllate dai cybercriminali.

Il malware Skygofree si è sviluppato nel tempo, introducendo nuove caratteristiche sempre più evolute che lo hanno reso uno spyware multi-stadio avanzato che consente agli attaccanti di controllare completamente da remoto i dispositivi infetti. I primi esemplari risalgono al 2015, anno in cui è stata lanciata la prima e più vasta campagna di diffusione di questo spyware. L’attività è andata avanti sicuramente fino alla fine di ottobre del 2017 ed è probabilmente tuttora in corso.

Stando a quanto rilevato dagli analisti di Kaspersky, le vittime di Skygofree sono esclusivamente utenti italiani. Gli esperti ritengono che anche i responsabili dello sviluppo e della distribuzione del malware siano molto verosimilmente basati in Italia.

Skygofree viene diffuso prevalentemente attraverso tecniche di phishing che utilizzano siti Web fraudolenti che mimano pagine di siti di operatori mobili attivi in Italia, tra cui Vodafone e Tre (ora Wind Tre). Le pagine fraudolente inducono l’utente a scaricare ed installare il malware spacciandolo per un tool di configurazione di rete, necessario “per evitare malfunzionamenti alla tua connessione Internet” e “navigare alla massima velocità”. Una rapida verifica ha permesso di stabilire che nei siti indicati da Kaspersky il malware non è più presente e che i domini registrati dagli autori del malware risultano ad oggi non più attivi.

Gli esemplari più recenti di Skygofree analizzati da Kaspersky sono provvisti di funzionalità per catturare ed inviare ai server C&C una gran quantità di dati, tra cui il registro delle chiamate, i messaggi di testo, le informazioni di geolocalizzazione, registrazioni di audio ambientale, eventi del calendario e altre informazioni memorizzate sul dispositivo. Gli attaccanti comunicano col malware attraverso svariati protocolli (HTTP, XMPP, SMS binari e FirebaseCloudMessaging) che gli garantiscono una grande flessibilità. La versione più recente del malware risponde a 48 comandi diversi che attivano altrettante funzionalità malevole, le principali delle quali gli consentono di:

  • scaricare ed installare APK da specifici URL sotto forma di falsi aggiornamenti;
  • inviare file dalla scheda SD ai server C&C;
  • impostare ed attivare una specifica connessione Wi-Fi;
  • registrare video e catturare foto allo sblocco del dispositivo;
  • attivare e disattivare il tracking GPS;
  • aggiungere e rimuovere luoghi in cui attivare la registrazione audio ambientale;
  • attivare il modulo reverse shell (backdoor).

Il malware inoltre sfrutta diversi exploit di vulnerabilità note di specifici dispositivi allo scopo di ottenere privilegi elevati.

Gli esperti di Kaspersky hanno anche individuato svariati componenti che fanno parte di un sistema di spionaggio completo per sistemi Microsoft Windows, progettato per esfiltrare dati sensibili da macchine bersaglio. Al momento non si ha evidenza che questi strumenti siano stati utilizzati in attacchi reali.

Il post originale di Kaspersky Lab contiene un’analisi più dettagliata di Skygofree, inclusi svariati indicatori di compromissione (IoC). Si noti che il malware non ha alcun legame con Sky, Sky Go o altre sussidiarie della società Sky e non coinvolge in alcun modo il servizio e l’applicazione Sky Go.

Per evitare di cadere vittime di questo tipo di malware, si raccomanda agli utenti di dispositivi Android di non scaricare app da repository non ufficiali o da fonti non attendibili e di installare e mantenere aggiornata una soluzione antivirus sul proprio dispositivo.

Notizie correlate

Scoperti numerosi giochi su Google Play infetti da un trojan

25 gennaio 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto su Google Play numerosi giochi per Android contenenti il trojan Android.RemoteCode.127.origin.Leggi tutto

Il trojan Loapi estrae criptovaluta e danneggia i dispositivi Android

20 dicembre 2017

I ricercatori di Kaspersky Lab hanno individuato Loapi, un trojan per dispositivi mobili Android dalla complessa architettura modulare.Leggi tutto

GnatSpy: scoperta nuova famiglia di trojan per dispositivi mobili

19 dicembre 2017

I ricercatori di Trend Micro hanno di recente scoperto una nuova famiglia di trojan per il furto di informazioni, battezzata GnatSpy, che colpisce i dispositivi mobili Android.Leggi tutto