Skygofree — mobilny trojan szpiegowski w hollywoodzkim stylu

Większość trojanów ma taki sam schemat działania: po przedostaniu się do urządzenia kradną należące do właściciela informacje związane z płatnościami, wykopują kryptowalutę na konto atakujących lub szyfrują dane i żądają

Większość trojanów ma taki sam schemat działania: po przedostaniu się do urządzenia kradną należące do właściciela informacje związane z płatnościami, wykopują kryptowalutę na konto atakujących lub szyfrują dane i żądają okupu w zamian za ich przywrócenie. Jednak niektóre wykazują się możliwościami, dzięki którym bardziej przypominają szpiegów z hollywoodzkich filmów.

Niedawno wykryliśmy takiego kinowego trojana o nazwie Skygofree (nie ma on nic wspólnego z usługą telewizyjną Sky Go; nazwa pochodzi od jednej z wykorzystywanych przez niego domen). Skygofree ma mnóstwo funkcji, lecz niektórych z nich nie spotkaliśmy nigdzie indziej. Na przykład potrafi śledzić lokalizację urządzenia, na którym jest zainstalowany, a także włączyć nagrywanie dźwięku, gdy właściciel znajdzie się w określonym miejscu. W praktyce oznacza to, że atakujący mogą podsłuchiwać ofiary na przykład po ich wejściu do biura.

Kolejną interesującą techniką wykorzystywaną przez Skygofree jest potajemne łączenie zainfekowanego smartfonu lub tabletu z kontrolowaną przez atakujących siecią Wi-Fi — nawet jeśli właściciel urządzenia wyłączył w nim moduł Wi-Fi. Takie działanie umożliwia gromadzenie informacji na temat ruchu internetowego generowanego przez ofiarę oraz jego analizę. Innymi słowy, osoba postronna może dokładne dowiedzieć się, które strony były oglądane oraz jakie wprowadzono loginy, hasła i numery kart.

Szkodliwy program ma również wiele innych funkcji, dzięki którym może działać w trybie uśpienia. Na przykład najnowsza wersja systemu Android może automatycznie zatrzymywać nieaktywne procesy w celu oszczędzania baterii, lecz Skygofree potrafi to ominąć, okresowo wysyłając powiadomienia systemowe. Na smartfonach jednego z największych producentów, na których po wygaszeniu ekranu zatrzymywane są wszystkie aplikacje oprócz ulubionych, Skygofree dodaje się sam do takiej listy.

Program ten może również monitorować popularne aplikacje, takie jak Facebook Messenger, Skype, Viber czy WhatsApp. W przypadku tej ostatniej programiści ponownie wykazali się sprytem — trojan odczytuje wiadomości WhatsAppa poprzez usługi dostępności. W jednym z postów wyjaśniliśmy, w jaki sposób to narzędzie przeznaczone dla osób z dysfunkcjami wzroku lub słuchu może zostać użyte przez atakujących do sterowania zainfekowanym urządzeniem. Pełni ono coś w rodzaju „cyfrowego oka”, które czyta to, co jest wyświetlane na ekranie, jednak w przypadku Skygofree gromadzi informacje z aplikacji WhatsApp. Aby aplikacja mogła korzystać z usług dostępności, wymaga zgody użytkownika; w przypadku wspomnianego szkodliwego oprogramowania jest ono ukrywane pod postacią innego, potencjalnie nieszkodliwego żądania.

Skygofree może także włączyć potajemnie aparat znajdujący się z przodu urządzenia i zrobić zdjęcia, gdy użytkownik je odblokowuje — nikt nie wie, do czego przestępcy ich używają.

Niestety lista funkcji, do których jest wykorzystywany ten innowacyjny trojan, na tym się nie kończy. Skygofree potrafi również przechwytywać rozmowy telefoniczne, SMS-y, notatki w kalendarzu i inne dane użytkownika.

Obietnica szybkiego internetu

Skygofree został przez nas odkryty stosunkowo niedawno, pod koniec 2017 r., jednak wg naszych analiz atakujący używają go już od 2014 r. W ciągu trzech lat program ten rozwinął się od zwykłego szkodliwego programu do pełnowymiarowego, wielofunkcyjnego programu szpiegującego.

Omawiany szkodliwy program jest rozprzestrzeniany za pośrednictwem stron internetowych fałszywego operatora mobilnego, na których Skygofree występuje pod postacią aktualizacji zwiększających prędkość internetu mobilnego. Jeśli użytkownik pobierze trojana, zobaczy powiadomienie o trwającej instalacji, a program wysyła do serwera kontroli żądanie kolejnych instrukcji. W zależności od odpowiedzi, może on pobrać wiele dodatkowych modułów — atakujący mają rozwiązania na niemal każdą okazję.

Przezorny zawsze ubezpieczony

Do dzisiaj nasza usługa ochrony w chmurze zarejestrowała tylko kilka infekcji; wszystkie miały miejsce we Włoszech. Jednak nie oznacza to, że użytkownicy w pozostałych krajach mogą spać spokojnie: osoby odpowiedzialne za dystrybucję tego szkodliwego programu mogą zmienić odbiorców docelowych w każdej chwili. Dobra wiadomość jest taka, że w przypadku tego zaawansowanego trojana skuteczne są tradycyjne sposoby ochrony:

  1. Instaluj aplikacje tylko z oficjalnych sklepów. Lepiej jest wyłączyć możliwość instalowania aplikacji ze źródeł zewnętrznych, korzystając z ustawień urządzenia.
  2. Jeśli masz jakieś wątpliwości, zrezygnuj z pobierania. Zwracaj uwagę na takie aspekty jak: błędy w nazwach aplikacji, niewielka liczba pobrań czy podejrzane żądanie uprawnień — w każdym z tych przypadków lepiej włącz krytyczne myślenie.
  3. Zainstaluj niezawodny program zabezpieczający — na przykład Kaspersky Internet Security for Android. Ochroni on Twoje urządzenie przed większością szkodliwych aplikacji i plików, podejrzanych stron i niebezpiecznych odnośników. W wersji darmowej skanowanie należy uruchamiać ręcznie; w płatnej odbywa się ono automatycznie. 
  4. Użytkownikom biznesowym zalecamy korzystanie z Kaspersky Security for Mobile, będącego elementem Kaspersky Endpoint Security for Business. Zabezpieczy on telefony i tablety, które są wykorzystywane w pracy. 
Porady