Skygofree: вредоносное ПО для таргетированных атак

Zaman. · January 24, 2018

Новое мощное шпионское ПО до Азербайджана еще не дошло

Дж.АЛЕКПЕРОВА

Эксперты «Лаборатории Касперского» обнаружили сложное многофункциональное ПО для целенаправленной слежки с помощью мобильных устройств. Skygofree способен «подслушивать» разговоры и улавливать звук, как только девайс окажется в конкретном месте, интересующем злоумышленников.

Помимо этого, он может красть сообщения в мессенджере WhatsApp и подключать устройство к Wi-Fi сети, которую контролируют атакующие. Всего специалисты насчитали в нем 48 различных функций.

Стоит отметить, что в Азербайджане сегодня довольно популярен WhatsApp, а распознать «зловред» не всегда возможно.

«Теоретически такое возможно, хотя вероятность подобного развития событий невелика. Нам не известны случаи заражения устройств в Азербайджане». Об этом эксклюзивно Echo.az заявил региональный представитель «Лаборатории Касперского» в Азербайджане Мушвиг Мамедов, отвечая на вопрос о том, есть ли угроза заражения Skygofree в странах СНГ, в частности, в Азербайджане.

Пока известны случаи заражения вредоносным ПО в Италии. Однако есть граждане Азербайджана, которые имеют связи с Италией. Отвечая на вопрос о том, можно ли прослушать или прочитать их переписку по WhatsApp посредством Skygofree, М. Мамедов отметил, что важно понимать, что Skygofree — это вредоносное ПО для таргетированных атак, а не вирус, который распространяется по миллионам устройств.

«Не нужно прекращать общение с итальянской стороной, лучше установите на свой телефон защитное решение и попросите друзей сделать то же самое», — сказал региональный представитель «Лаборатории Касперского» в Азербайджане.

Мушвиг Мамедов также рассказал о том, как обезопасить себя от данного вредоносного ПО, и в целом, можно ли вообще понять, что тебя прослушивают.

«Невооруженным взглядом заметить деятельность подобных вредоносных программ чрезвычайно сложно, так как разработчики постоянно совершенствуют способы сокрытия своего присутствия в системе. Чтобы защититься, необходимо установить антивирусную защиту», — пояснил он.

Отметим, что обнаружили Skygofree недавно, в конце 2017 года, однако, если судить по результатам анализа, злоумышленники используют его еще с 2014-го и постоянно совершенствуют.

Skygofree способен делать фотографии и снимать видео, перехватывать телефонные звонки и SMS, собирать информацию о местоположении, событиях в календаре и данные, хранящиеся в памяти устройства. В этом шпионском ПО есть даже специальная функция, которая позволяет обходить технологию энергосбережения, разработанную одним из ведущих производителей мобильных устройств: имплант добавляет себя в список защищенных приложений, благодаря чему при выключении экрана его работа не сворачивается автоматически.

Несмотря на то, что Skygofree ориентирован в первую очередь на мобильные устройства, исследователи также обнаружили несколько модулей для платформы Windows. Распространяется зловред через веб-страницы, имитирующие сайты ведущих мобильных операторов.

По данным «Лаборатории Касперского», к настоящему моменту насчитывается несколько жертв Skygofree, все они находятся в Италии.

Еще один интересный прием, который освоил Skygofree, — втихую подключать зараженный смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве. Это позволяет собирать и анализировать трафик жертвы. Иными словами, кто-то будет точно знать, на какие сайты заходила жертва и какие логины, пароли и номера карт вводила.

Также зловред умеет следить за работой популярных приложений вроде Facebook Messenger, Skype, Viber, WhatsApp. Причем в последнем случае разработчики вновь проявили смекалку — троян читает переписку в WhatsApp через «Специальные возможности» (Accessibility Services).

Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство, и можно только гадать, как преступники будут использовать эти фото.

Впрочем, банальными функциями авторы инновационного трояна тоже не побрезговали: перехватывать звонки, SMS, записи календаря и прочие данные пользователя Skygofree тоже умеет.

Зловред распространяется через Интернет, используя поддельные сайты сотовых операторов. На них злоумышленники предлагают установить Skygofree под видом обновления, которое повысит скорость мобильного доступа к Интернету.

Если посетитель попадается на удочку и скачивает себе заразу, троян показывает уведомление о якобы начавшейся настройке, прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от ответа он может скачивать самую разную полезную нагрузку — злоумышленники предусмотрели решения практически на все случаи жизни.

Защитные решения «Лаборатории Касперского» детектируют версии Skygofree для Android, как HEUR:Trojan.AndroidOS.Skygofree.a и HEUR:Trojan.AndroidOS.Skygofree.b, а также образцы для Windows, как UDS:DangerousObject.Multi.Generic.