Skygofree: scoperto spyware “italiano” per sistemi Android che colpisce solo utenti italiani

Tempo di lettura: 2 minuti

I laboratori Kaspersky hanno individuato un nuovo spyware che colpisce unicamente utenti nel territorio italiano con capacità e caratteristiche che lo rendono il più avanzato strumento di spionaggio/sorveglianza di tipo mobile rilevato in-the-wild.  Cerchiamo di capirne il motivo. 

Le caratteristiche dello spyware

Questo particolare spyware, denominato “Skygofree”, è stato analizzato dai laboratori Kaspersky i quali hanno evidenziato che nel codice sono presenti numerosi commenti e stringhe in lingua italiana, cosa che rende lo strumento dedicato a colpire solo utenti di lingua italiana. 

Ora vediamo invece quali sono le capacità reali di questo spyware:

  • registrazione audio ambientale tramite microfono del dispositivo, funzione che può esser attivata in luoghi specifici
  • sfruttando exploit nelle funzioni di accessibilità può estrarre i messaggi di app come Whatsapp, messenger, Line e Viber
  • estrazione del registro chiamate
  • connessione automatica alle reti Wi-Fi dei criminali 
  • scaricamento ed installazione di file APK sotto forma di falsi aggiornamenti
  • inviare file dalla memoria interna del dispositivo al server C&C 
  • attivare o disattivare la posizione GPS
  • capacità di keylogging (registrazione e cattura di tutti i tasti digitati)
  • capacità di aggiunta automatica alla lista delle “app protette” di Huawei, le quali possono avviarsi anche a schermo spento 
VIa: Securelist – Kaspersky

Gli attaccanti potevano controllare da remoto ogni dispositivo infetto usando diverse connessioni come HTTP, XMPP, SMS binari o FirebaseCloudMessaging. La prima campagna infettiva è partita nel 2015, nel corso degli anni lo spyware si è perfezionato ed ha aggiunto ulteriori funzionalità rendendolo di fatto di tipo multi-stadio o modulare. 

Metodo d’infezione

Il metodo d’infezione è attraverso campagne phishing con appositi siti web che camuffano quelli di alcuni operatori mobili (come Vodafone o Wind Tre) cercando di far scaricare all’utente un file che dovrebbe far “navigare alla massima velocità” l’utente; attualmente i domini non risultano più attivi. 

Esempio delle pagine phishing. Via: Securelist – Kaspersky

Secondo i ricercatori, grazie alla scoperta di file correlati allo spyware, ci sarebbero altre varianti dello spyware dedicate ad ambiente Windows e Linux, per ora però non sono state scoperte infezioni di questo genere.

Prestiamo quindi sempre MOLTA attenzione a quello che scarichiamo e non fidiamoci MAI di pagine come queste che sembrano promettere sempre cose strabilianti, inoltre accertiamoci che l’installazione di app da fonti non attendibili o sconosciute sia disabilitata correttamente. 

Approfondimento e fonti (anche per immagini): 

Elvis
Seguimi
(Visited 105 times, 1 visits today)

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

NON seguire questo link o sarai bannato dal sito!