Nowy mobilny trojan Skygofree bardziej przypomina szpiegów z hollywoodzkich filmów, niż klasyczne szkodniki tego rodzaju - twierdzi Kasperky Lab.
Wykryty niedawno trojan Skygofree (nazwa pochodzi od jednej z wykorzystywanych przez niego domen) ma wiele funkcji, przy czym niektórych eksperci z Kaspesky Lab nie widzieli nigdzie indziej. Nowy trojan potrafi na przykład śledzić lokalizację urządzenia, na którym jest zainstalowany, a także włączyć nagrywanie dźwięku, gdy właściciel znajdzie się w określonym miejscu. Dzięki temu ofiara może być podsłuchiwana na przykład po wejściu do biura, w którym pracuje.
Skygofree może też potajemnie połączyć zainfekowane urządzenie mobilne z siecią Wi-Fi kontrolowaną przez atakujących. Dzięki trojanowi będzie to możliwe nawet wtedy, gdy właściciel urządzenia wyłączy w nim moduł Wi-Fi. Da to możliwość gromadzenia informacji na temat ruchu internetowego generowanego przez ofiarę oraz jego analizę. Atakujący może dowiedzieć się, które strony były oglądane oraz jakie wprowadzono loginy, hasła i numery kart.
Skygofree ma także sporo innych funkcji, które pozwalają mu działać w trybie uśpienia. Jedną z nich jest możliwość ominięcia dostępnej w najnowszym Androidzie funkcji automatycznego zatrzymywania nieaktywnych procesów w celu oszczędzania energii akumulatora, poprzez okresowe wysyłanie powiadomień systemowych. W przypadku smartfonów jednego z największych producentów, na których po wygaszeniu ekranu zatrzymywane są wszystkie aplikacje oprócz ulubionych, Skygofree dodaje się sam do takiej listy.
Kolejna funkcja trojana to monitorowanie popularnych aplikacji, takich jak Facebook Messenger, Skype, Viber oraz WhatsApp. W przypadku tej ostatniej programiści ponownie wykazali się sprytem - trojan odczytuje wiadomości WhatsAppa poprzez usługi dostępności.
W jednym z postów wyjaśniliśmy, w jaki sposób to narzędzie przeznaczone dla osób z dysfunkcjami wzroku lub słuchu może zostać użyte przez atakujących do sterowania zainfekowanym urządzeniem. Pełni ono coś w rodzaju "cyfrowego oka", które czyta to, co jest wyświetlane na ekranie, jednak w przypadku Skygofree gromadzi informacje z aplikacji WhatsApp. Aby aplikacja mogła korzystać z usług dostępności, wymaga zgody użytkownika; w przypadku wspomnianego szkodliwego oprogramowania jest ono ukrywane pod postacią innego, potencjalnie nieszkodliwego żądania - wyjaśnił Kaspersky na łamach swojego bloga.
Odkryty trojan może także potajemnie włączyć przedni aparat fotograficzny i przy jego pomocy zrobić użytkownikowi zdjęcie, gdy ten odblokuje swoje urządzenie mobilne. Skygofree potrafi przechwytywać rozmowy telefoniczne, SMS-y, notatki w kalendarzu i inne dane użytkownika.
Trojan Skygofree został odkryty pod koniec 2017 roku, jednak według analiz badaczy z Kaspersky Lab atakujący używają go od 2014 roku. W ciągu trzech lat program ten rozwinął się od zwykłego szkodliwego programu do pełnowymiarowego, wielofunkcyjnego programu szpiegującego - czytamy na blogu firmy Kaspersky Lab.
Omawiany szkodliwy program jest rozprzestrzeniany za pośrednictwem stron internetowych fałszywego operatora mobilnego, na których Skygofree występuje pod postacią aktualizacji zwiększających prędkość internetu mobilnego. Jeśli użytkownik pobierze trojana, zobaczy powiadomienie o trwającej instalacji, a program wysyła do serwera kontroli żądanie kolejnych instrukcji. W zależności od odpowiedzi, może on pobrać wiele dodatkowych modułów - atakujący mają rozwiązania na niemal każdą okazję.
Jak podał Kaspersky, usługa ochrony w chmurze tej rosyjskiej firmy zanotowała tylko kilka infekcji przy użyciu opisywanego powyżej szkodnika, wszystkie miały miejsce we Włoszech. Nie oznacza to jednak, że twórcy trojana nie mogą rozszerzyć zakresu jego działań na inne kraje. Aby ustrzec się przed Skygofree wystarczą tradycyjne metody ochrony, wśród których producent popularnego oprogramowania antywirusowego wymienia:
Źródło tekstu: Kaspersky
