Οι ερευνητές της Kaspersky Lab έχουν αποκαλύψει ένα προηγμένο mobile εμφύτευμα, ενεργό από το 2014 και σχεδιασμένο για στοχευμένη ψηφιακή παρακολούθηση, ενδεχομένως ως προϊόν «επιθετικής ασφάλειας». Το εμφύτευμα, το οποίο ονομάζεται Skygofree, περιλαμβάνει λειτουργικότητα που δεν έχει παρατηρηθεί ελεύθερη στο Διαδίκτυο κατά το παρελθόν, όπως η εγγραφή ήχου βάσει τοποθεσίας μέσω «μολυσμένων» συσκευών. Το spyware εξαπλώνεται μέσω ιστοσελίδων που μιμούνται κορυφαίους διαχειριστές φορητών δικτύων.
Το Skygofree είναι ένα εξελιγμένο spyware πολλαπλών σταδίων που δίνει στους επιδρομείς πλήρη απομακρυσμένο έλεγχο μίας «μολυσμένης» συσκευής. Έχει υποβληθεί σε συνεχή εξέλιξη από τότε που δημιουργήθηκε η πρώτη έκδοση στα τέλη του 2014 και πλέον περιλαμβάνει την ικανότητα να παρακολουθεί τις περιβάλλουσες συνομιλίες και τον θόρυβο όταν μια «μολυσμένη» συσκευή εισέρχεται σε μια συγκεκριμένη τοποθεσία - μια λειτουργία που δεν έχουν συναντήσει κατά το παρελθόν ελεύθερη στο Διαδίκτυο.
Άλλες προηγμένες λειτουργίες που δεν έχουν συναντήσει ξανά περιλαμβάνουν τη χρήση Υπηρεσιών προσβασιμότητας για την κλοπή μηνυμάτων WhatsApp και τη δυνατότητα σύνδεσης μίας «μολυσμένης» συσκευής σε δίκτυα Wi-Fi που ελέγχονται από τους εισβολείς.
Το εμφύτευμα φέρει πολλαπλά exploits για root access και είναι επίσης σε θέση να τραβά φωτογραφίες και βίντεο, να κατασχέσει εγγραφές κλήσεων, SMS, γεωγραφική θέση, συμβάντα ημερολογίου και πληροφορίες σχετικά με τις επιχειρήσεις που είναι αποθηκευμένες στη μνήμη της συσκευής. Ένα ειδικό χαρακτηριστικό του επιτρέπει να παρακάμπτει μια τεχνική εξοικονόμησης μπαταρίας που εφαρμόζεται από έναν κορυφαίο προμηθευτή συσκευής: το εμφύτευμα προστίθεται στη λίστα των «προστατευμένων εφαρμογών» έτσι ώστε να μην απενεργοποιείται αυτόματα όταν η οθόνη είναι απενεργοποιημένη .
Οι επιτιθέμενοι φαίνεται επίσης να ενδιαφέρονται για τους χρήστες των Windows και οι ερευνητές βρήκαν αρκετές πρόσφατα αναπτυγμένες μονάδες που στοχεύουν αυτήν την πλατφόρμα.
Οι περισσότερες από τις πλαστές σελίδες προορισμού που χρησιμοποιήθηκαν για τη διάδοση του εμφυτεύματος καταγράφηκαν το 2015, όταν σύμφωνα με την τηλεμετρία της Kaspersky Lab η εκστρατεία διανομής ήταν στην πιο ενεργή της φάση. Η εκστρατεία είναι σε εξέλιξη και το πιο πρόσφατο domain καταγράφηκε τον Οκτώβριο του 2017. Τα στοιχεία δείχνουν ότι μέχρι σήμερα έχουν υπάρξει πολλά θύματα, όλα στην Ιταλία.
«Το high-end κακόβουλο mobile λογισμικό είναι πολύ δύσκολο να εντοπιστεί και να εμποδιστεί και οι υπεύθυνοι για την ανάπτυξη πίσω από το Skygofree χρησιμοποίησαν σαφώς αυτό το πλεονέκτημα: δημιουργώντας και εξελίσσοντας ένα εμφύτευμα που μπορεί να κατασκοπεύει εκτενώς τους στόχους χωρίς να προκαλέσει καχυποψία. Δεδομένων των αντικειμένων που ανακαλύψαμε στον κώδικα του κακόβουλου λογισμικού και την ανάλυση της υποδομής του, έχουμε κάθε λόγο να πιστεύουμε ότι ο δημιουργός πίσω από τα εμφυτεύματα Skygofree είναι μια ιταλική εταιρεία πληροφορικής που προσφέρει λύσεις παρακολούθησης, όπως η HackingTeam», δήλωσε ο Alexey Firsh, αναλυτής κακόβουλου λογισμικού, Έρευνα Στοχευμένων Επιθέσεων, Kaspersky Lab.
Οι ερευνητές βρήκαν 48 διαφορετικές εντολές που μπορούν να εφαρμοστούν από τους επιτιθέμενους, επιτρέποντας τη μέγιστη ευελιξία χρήσης.
