štvrtok 18. januára 2018

Spyware: Skygofree - sledovací malvér zameraný na mobilné zariadenia

Špionážny malvér sa šíri cez webové stránky imitujúce oficiálne weby mobilných operátorov. Ide o sofistikovaný, viacstupňový spyware, ktorý dovoľuje útočníkovi získať plnú kontrolu nad infikovaným zariadením. 

V súčasnosti je schopný odpočúvať všetky konverzácie a šumy v okolí zariadenia v momente, keď sa ocitne na špecifickom mieste (odpočúvanie založené na polohe). Medzi jeho ďalšie unikátne funkcie patrí využívanie tzv. služieb dostupnosti (Accessibility Services) na nelegálne získanie obsahu z WhatsApp konverzácií ako aj schopnosť pripojiť napadnuté zariadenie do Wi-Fi siete kontrolovanej útočníkmi. Je tiež schopný vytvárať fotografie a natáčať videá, zachytávať telefónne záznamy, SMS správy, určovať polohu tzv. geolokáciu, kradnúť záznamy udalostí z kalendárov či cenné informácie pracovného alebo obchodného charakteru uložené v pamäti zariadenia. Voči špeciálnej funkcii Androidu na vypnutie nečinných aplikácií používa mechanizmus s falošnými notifikáciami o aktualizácii, a tak ostáva aktívny aj po automatickom vypnutí obrazovky. Podľa najnovších zistení sa útočníci zamieravajú už aj na používateľov Windows.

Väčšina falošných webových stránok využívaných na šírenie tohto spywaru bola zaregistrovaná v roku 2015, kedy prebiehala podľa telemetrických zistení Kaspersky Lab najaktívnejšia distribučná kampaň. Najnovšia doména bola zaregistrovaná len nedávno – v októbri 2017, čo svedčí o tom, že útočníci v kampani pokračujú. Z analyzovaných dát bolo identifikovaných niekoľko obetí, všetky pochádzali z Talianska. Experti odhalili 48 rôznych príkazov, ktoré môžu byť implementované útočníkmi, čo im umožňuje maximálnu flexibilitu použitia. Kaspersky Lab detetekovalo Skygofree verzie pre Android ako HEUR:Trojan.AndroidOS.Skygofree.a andHEUR:Trojan.AndroidOS.Skygofree.b a Windows vzorky ako UDS:DangerousObject.Multi.Generic.