Skygofree, spionaggio via mobile in stile hollywoodiano

Il Trojan Skygofree è dotato di alcune importanti caratteristiche tipiche di uno spyware (alcune peculiari), come registrazione audio mediante geolocalizzazione e furto di messaggi privati.

La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche: dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamenti del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood.

Di recente abbiamo scoperto proprio un Trojan appartenente a questo genere, dal nome Skygofree (che non ha nulla a che fare con il servizio Sky Go, il nome del Trojan fa riferimento a uno dei domini utilizzati). Skygofree ha un sacco di funzionalità, alcune delle quali non sono facili da trovare altrove; ad esempio, può rintracciare l’ubicazione di un dispositivo su cui è installato e attivare la registrazione audio quando il proprietario del dispositivo si trova in un determinato luogo. In pratica, ciò vuol dire che i cybercriminali possono ascoltare ciò che succede, ad esempio, quando la vittima si trova in ufficio o a casa del proprio capo.

Un’altra tecnica interessante impiegata da Skygofree è la connessione (senza che l’utente se ne accorga) dello smartphone o del tablet infetto a una rete Wi-Fi controllata dai cybercriminali, anche quando il proprietario ha disattivato le connessioni Wi-Fi sul dispositivo. In questo modo i cybercriminali possono raccogliere e analizzare il traffico della vittima. In poche parole, possono sapere esattamente quali siti sono stati visitati dall’utente vittima, cosi come le sue credenziali di accesso, password e numeri di carte di credito.

Il malware possiede anche un paio di funzionalità che gli consentono di operare in modalità standby. Ad esempio, l’ultima versione di Android può fermare automaticamente i processi non attivi per risparmiare batteria; tuttavia, Skygofree è in grado di superare questo ostacolo inviando notificazioni di sistema. Inoltre, su una delle marche più famose di smartphone dove sooo le app preferite sono disponibili quando lo schermo è spento, Skygofree si aggiunge automaticamente alla lista delle app preferite.

Il malware può monitorare app popolari quali Facebook Messenger, Skype, Viber e Whatsapp. A proposito di quest’ultima, gli sviluppatori sono stati piuttosto abili: il Trojan legge i messaggi Whatsapp mediante i servizi di accessibilità. In un altro articolo abbiamo spiegato in che modo i cybercriminalii impieghino questo strumento rivolto a non vedenti e non udenti per controllare i dispositivi infetti. Si tratta di una sorta di “occhio digitale” che legge ciò che c’è sullo schermo e, nel caso di Skygofree, raccoglie i messaggi Whatsapp. L’uso dei servizi di accessibilità richiede l’autorizzazione dell’utente ma il malware nasconde questa autorizzazione all’interno di altre richieste apparentemente innocenti.

Infine, ultimo ma non meno importante, Skygofree può attivare segretamente la fotocamera frontale e scattare una foto dell’utente quando sblocca il dispositivo, immagini che i cybercriminali possono utilizzare chissà in quanti modi.

Comunque sia questo Trojan, pur essendo innovativo in certi aspetti, possiede anche funzionalità classiche: ad esempio, può intercettare chiamate, SMS, annotazioni sul calendario e altri dati dell’utente.

La promessa di un Internet più veloce

Da poco abbiamo scoperto Skygofree, a fine 2017, ma dalle nostre analisi è emerso che i cybercriminali se ne servono già dal 2014. Durante gli ultimi tre anni si è evoluto da un malware come gli altri a un spywall articolato e multifunzione.

Il malware si diffonde mediante siti falsi di compagnie telefoniche per dispositivi mobili: Skygofree si spaccia per un aggiornamento in grado di aumentare la velocità di Internet sul telefono. Se l’utente abbocca e scarica il Trojan, appare una notifica in cui si avvisa che la configurazione delle impostazioni è in corso, nel frattempo il Trojan si nasconde agli occhi delll’utente e richiede ulteriori istruzioni al command server. A seconda della risposta, si scaricano diversi palyload (i cybercriminali hanno una soluzione per ogni evenienza).

Prevenire è meglio che curare

Fino a ora, il nostro servizio di protezione su cloud ha individuato solo poche infezioni, tutte nel nostro paese; ma ciò non vuol dire che gli utenti di altri paesi possano abbassare la guardia, i cybercriminali possono decidere di cambiare obiettivo in qualsiasi momento. La buona notizia è che, anche in questo caso, potete proteggervi seguendo queste semplici indicazioni:

1. Installate app solo dagli store ufficiali. Meglio disattivare l’opzione che consente di installare app da terze parti, basta entrare nelle impostazioni dello smartphone;

2. Se avete dei dubbi, meglio non scaricare nulla. Prestate attenzione a errori di ortografia nei nomi delle app, se l’app ha un numero esiguo di download o se richiede autorizzazioni sospette;

3. Installate una soluzione di sicurezza affidabile, come Kaspersky Internet Security for Android. Proteggerà i vostri dispositivi da app e file dannosi, siti Internet sospetti e link pericolosi. Con la versione gratuita la scansione deve essere avviata manualmente, nella versione a pagamento la scansione è automatica.

4. Per gli utenti business consigliamo l’uso di Kaspersky Security for Mobile (componente di Kaspersky Endpoint Security for Business) per la protezione di smartphone e tablet usati dai dipendenti.

Consigli