Odborníci z Kaspersky Lab objevili pokročilý škodlivý program zacílený na mobilní zařízení. Tento program je aktivní už od roku 2014 a byl navržen pro cílené kybernetické sledování. Jmenuje se Skygofree a zahrnuje funkce, které doposud nebyly u podobných podvodných programů zaznamenány. Řadí se mezi ně například nahrávání zvuků, jenž se v infikovaných zařízeních aktivuje pouze v určitých místech. Tento spyware se šíří prostřednictvím internetových stránek, které vypadají jako stránky velkých mobilních operátorů.
Skygofree je sofistikovaný několikaúrovňový spyware, který útočníkům umožňuje získat úplnou vzdálenou kontrolu nad napadeným zařízením. Od svého vytvoření na konci roku 2014 prošel výrazným vývojem. Nyní je schopen zapnout tajné nahrávání konverzací či zvuků v dosahu zařízení. Tento odposlech se aktivuje pouze tehdy, kdy se infikované zařízení nachází v určitých místech. Podobné funkcionality nebyly doposud u takto škodlivých programů detekovány. Mezi další pokročilé schopnosti spywaru, se kterými se odborníci dosud nesetkali, patří využití Accessibility Services. Díky nim mohou útočníci odcizit zprávy ze služby WhatsApp a připojit zařízení k WiFi síti, kterou ovládají.
Útočníci mohou prostřednictvím spywaru a řady jeho exploitů získat přístup k rootovacím procesům, pořizovat snímky a videa, zaznamenávat telefonáty, získat SMS či polohu zařízení. Skrz kalendář se mohou dostat i k informacím o obchodních jednáních a plánovaných událostech. Speciální funkce navíc zločincům umožňuje obejít tovární nastavení úspory energie – spyware se sám přidá mezi „chráněné aplikace“, které se automaticky nevypnou po zhasnutí obrazovky.
I když jsou prvotním cílem kyberzločinců uživatelé Androidu, zajímají se také o uživatele Windows. Napovídají tomu před nedávnem objevené verze zaměřené na tuto platformu. Většina falešných stránek, které slouží k šíření spywaru, byla zaregistrována v roce 2015. V té době podle telemetrie Kaspersky Lab došlo k největšímu šíření této kyberzločinné kampaně, která však stále pokračuje. Nejnovější doména byla zaregistrována v říjnu loňského roku. Z dat společnosti vyplývá, že se obětí spywaru stalo několik uživatelů z Itálie.
„Pokročilý mobilní malware je velmi obtížné detekovat a blokovat, a kyberzločinci stojící za Skygofree jsou si toho velmi dobře vědomi. Vyvinuli tak spyware, který je schopný bez povšimnutí špehovat vlastníky napadených zařízení. Na základě objevených částí malwarového kódu a naší analýzy infrastruktury jsme nabyli přesvědčení, že za spywarem Skygofree stojí italská IT firma nabízející sledovací řešení, jako je například HackingTeam,“ komentuje Alexey Firsh, malwarový analytik z týmu zaměřeného na cílené útoky společnosti Kaspersky Lab.
Odborníci našli 48 různých příkazů, které mohou být útočníky implementovány, a které jim umožňují maximální flexibilitu. Produkty Kaspersky Lab detekují verzi Skygofree pro Android jako HEUR:Trojan.AndroidOS.Skygofree.a a HEUR:Trojan.AndroidOS.Skygofree.b. Verze zacílená na Windows nese označení UDS:DangerousObject.Multi.Generic.
Další informace včetně seznamu příkazů Skygofree, indikátorů napadení, doménových adres a přehledu modelů zařízení napadených exploity jsou dostupné na blogu Securelist.com.
O společnosti Kaspersky Lab
Kaspersky Lab je mezinárodní společností, která se zabývá kybernetickou bezpečností a v roce 2017 slaví 20 let od svého založení. Své rozsáhlé odborné znalosti kybernetických hrozeb využívá Kaspersky Lab při vytváření bezpečnostních řešení a služeb nové generace zaměřených na ochranu podniků, kritické infrastruktury, vládních organizací a uživatelů po celém světě. Portfolio společnosti zahrnuje špičkové zabezpečení koncových bodů a specializovaná bezpečnostní řešení a služby sloužící k ochraně proti sofistikovaným a neustále se vyvíjejícím digitálním hrozbám. Technologie Kaspersky Lab chrání celosvětově více než 400 milionů uživatelů a 270 tisíc korporátních klientů. Více se dozvíte na www.kaspersky.cz.