​Cercetatorii Kaspersky Lab au descoperit un program complex pentru dispozitive mobile, activ inca din 2014 si creat pentru supraveghere cibernetica, fiind probabil un produs de ”securitate ofensiva”. Programul, denumit Skygofree, include o functie nemaiintalnita, aceea de inregistrare audio pe baza geolocatiei victimelor, prin intermediul dispozitivelor infectate. Spyware-ul se raspandeste prin pagini web ce imita activitatea operatorilor de retele mobile.

Skygofree este un program spyware sofisticat, pe mai multe niveluri, care le ofera atacatorilor control total de la distanta asupra unui dispozitiv infectat. Acesta a trecut printr-un proces continuu de dezvoltare de cand a fost creata prima versiune, la sfarsitul anului 2014, iar acum poate „sa traga cu urechea” la conversatiile din jur si la zgomot, atunci cand un dispozitiv infectat ajunge intr-un anumit loc - o caracteristica nemaiintalnita anterior. Alte functii avansate si noi sunt folosirea serviciilor de accesibilitate pentru a fura mesaje de pe WhatsApp si abilitatea de a conecta un dispozitiv infectat la retele Wi-Fi controlate de atacatori.

Programul contine numeroase exploit-uri pentru acces „root” si poate, de asemenea, sa faca fotografii si materiale video, sa obtina inregistrarile apelurilor, ale SMS-urilor, informatii despre localizarea geografica, despre calendarul de evenimente si informatiile de business pastrate in memoria dispozitivului. O functie speciala ii permite sa evite o tehnica de economisire a bateriei implementata de un important furnizor de dispozitive: programul implantat se adauga singur pe lista ”aplicatiilor protejate”, pentru a nu fi inchis automat atunci cand ecranul este inactiv.

Atacatorii par sa aiba, de asemenea, un interes deosebit pentru utilizatorii de Windows, cercetatorii descoperind recent un numar de module care tintesc aceasta platforma.

Cele mai multe dintre landing page-urile falsificate folosite pentru raspandirea acestui program au fost inregistrate in 2015, atunci cand, conform datelor de telemetrie ale Kaspersky Lab, campania de distribuire a fost cea mai activa. Campania este in desfasurare, iar cel mai recent domeniu a fost inregistrat in octombrie 2017. Datele indica faptul ca au existat mai multe victime pana in prezent, toate in Italia.

”Malware-ul complex pentru dispozitive mobile este foarte dificil de identificat si de blocat, iar creatorii Skygofree au folosit acest lucru in avantajul lor: crearea si dezvoltarea unui program prin care sa poata spiona victimele fara a trezi suspiciuni” spune Alexey Firsh, Malware Analyst, Targeted Attacks Research la Kaspersky Lab. ”Tinand cont de artefactele pe care le-am descoperit in codul acestui malware si de analiza infrastructurii, avem motive intemeiate sa credem ca dezvoltatorul Skygofree este o companie IT din Italia care ofera solutii de supraveghere, in genul HackingTeam. ”

Cercetatorii au gasit 48 de comenzi diferite care pot fi implementate de atacatori, permitand o flexibilitate maxima in utilizare.