Passa al contenuto principale

Kaspersky Lab scopre Skygofree: spyware altamente avanzato per Android attivo dal 2014

16 gennaio 2018

I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware mobile avanzato, attivo dal 2014 e progettato per condurre attività di cyber spionaggio mirato, che ha fatto registrare vittime in Italia.

I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware mobile avanzato, attivo dal 2014 e progettato per condurre attività di cyber spionaggio mirato, che ha fatto registrare vittime in Italia. Il malware, chiamato Skygofree, comprende funzionalità mai trovate in the wild in passato, come la registrazione di audio in base alla geolocalizzazione dei dispositivi infettati. Lo spyware viene distribuito attraverso pagine web che imitano i siti dei principali operatori di reti mobile.

Skygofree è uno spyware sofisticato e multilivello che concede ai cyber criminali il pieno controllo remoto del dispositivo infettato. Dopo la creazione della prima versione alla fine del 2014, ha subito costanti aggiornamenti e ora include la possibilità di “origliare” le conversazioni e i rumori dell’ambiente circostante quando il dispositivo entra in un luogo specifico – una funzionalità che non era mai stata trovata in the wild. Altre innovative funzionalità avanzate includono la possibilità di usare le impostazioni di accessibilità per rubare i messaggi WhatsApp e la capacità di collegare il dispositivo infettato alle reti wi-fi controllate dai cyber criminali.

Il malware include diversi exploit per ottenere i permessi di root ed è in grado di catturare immagini e registrare video, ottenere l’elenco delle chiamate, SMS, informazioni sulla geolocalizzazione, eventi nel calendario e dati aziendali archiviati nella memoria del dispositivo. Una funzionalità speciale consente di aggirare una funzionalità per il risparmio della batteria implementata da uno dei maggiori vendor: il malware si inserisce nell’elenco delle “app protette” per non venire disattivato automaticamente quando lo schermo è spento.

I cyber criminali sembrano interessati anche agli utenti Windows e i ricercatori hanno scoperto diversi moduli sviluppati recentemente che prendono di mira questa piattaforma.

La maggior parte delle landing page nocive usate per diffondere il malware sono state registrate nel 2015, quando, secondo la telemetria di Kaspersky Lab, la campagna di distribuzione è stata più attiva. La campagna nociva è ancora in atto e il dominio più recente è stato registrato a ottobre 2017. I dati indicano che attualmente sono state colpite diverse vittime, tutte in Italia.

“I malware mobile di alto profilo sono estremamente difficili da identificare e bloccare e gli sviluppatori di Skygofree hanno sfruttato questo fattore a proprio vantaggio, creando e sviluppando uno spyware in grado di spiare gli obiettivi senza destare sospetti. In base agli artefatti scoperti nel codice del malware e alla nostra analisi dell’infrastruttura, siamo piuttosto sicuri che il malware Skygofree sia stato sviluppato da un’azienda IT italiana che offre soluzioni di sorveglianza, comeHackingTeam”, ha commentato Alexey Firsh, Malware Analyst, Targeted Attacks Research, di Kaspersky Lab.

I ricercatori hanno scoperto 48 comandi differenti che possono essere implementati dai criminali, offrendo la massima flessibilità d’uso.

Per proteggersi dalle minacce mobile più avanzate, Kaspersky Lab consiglia fortemente di implementare una soluzione di sicurezza affidabile in grado di identificare e bloccare queste minacce sugli endpoint, come Kaspersky Security for Mobile. Gli utenti dovrebbero inoltre fare attenzione alle email ricevute da persone o aziende sconosciute o con richieste o allegati inattesi – e verificare sempre l’integrità e l’origine dei siti web prima di cliccare sui link. In caso di dubbio, è sempre meglio chiamare il service provider per una verifica. Gli amministratori di sistema, a loro volta, dovrebbero attivare la funzionalità di Application Control della propria soluzione di sicurezza mobile per controllare i programmi potenzialmente dannosi vulnerabili a questi attacchi.

Le soluzioni Kaspersky Lab rilevano le versioni di Skygofree per Android come HEUR:Trojan.AndroidOS.Skygofree.a e HEUR:Trojan.AndroidOS.Skygofree.b e i sample per Windows come UDS:DangerousObject.Multi.Generic.

Ulteriori informazioni, incluso l’elenco dei comandi di Skygofree, gli indicatori di compromissione, gli indirizzi di dominio e i modelli dei dispositivi presi di mira dai moduli exploit del malware possono essere trovate su Securelist.com.

Note

Skygofree deve il proprio nome a una parola usata in uno dei domini. Il malware non ha legami con Sky, Sky Go o qualsiasi altra società controllata da Sky e non coinvolge il servizio o l’app Sky Go.

Kaspersky Lab scopre Skygofree: spyware altamente avanzato per Android attivo dal 2014

I ricercatori di Kaspersky Lab hanno scoperto un nuovo malware mobile avanzato, attivo dal 2014 e progettato per condurre attività di cyber spionaggio mirato, che ha fatto registrare vittime in Italia.
Kaspersky logo

Informazioni su Kaspersky

Kaspersky è un'azienda globale di sicurezza informatica e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti fino a oggi dalle minacce informatiche emergenti e dagli attacchi mirati, l'intelligence sulle minacce e le competenze in materia di sicurezza di Kaspersky si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L’azienda offre un portafoglio di prodotti di sicurezza completo, che include protezione degli endpoint leader di settore, prodotti e servizi di sicurezza specializzati e soluzioni Cyber ​​Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 clienti aziendali a proteggere ciò che conta di più per loro. Ulteriori informazioni sul sito Web www.kaspersky.it.

Articolo correlato Comunicati Stampa