Skygofree: scoperto spyware “italiano” per sistemi Android che colpisce solo utenti italiani

I laboratori Kaspersky hanno individuato un nuovo spyware che colpisce unicamente utenti nel territorio italiano con capacità e caratteristiche che lo rendono il più avanzato strumento di spionaggio/sorveglianza di tipo mobile rilevato in-the-wild.  Cerchiamo di capirne il motivo. 

Le caratteristiche dello spyware

Questo particolare spyware, denominato “Skygofree”, è stato analizzato dai laboratori Kaspersky i quali hanno evidenziato che nel codice sono presenti numerosi commenti e stringhe in lingua italiana, cosa che rende lo strumento dedicato a colpire solo utenti di lingua italiana. 

Ora vediamo invece quali sono le capacità reali di questo spyware:

  • registrazione audio ambientale tramite microfono del dispositivo, funzione che può esser attivata in luoghi specifici
  • sfruttando exploit nelle funzioni di accessibilità può estrarre i messaggi di app come Whatsapp, messenger, Line e Viber
  • estrazione del registro chiamate
  • connessione automatica alle reti Wi-Fi dei criminali 
  • scaricamento ed installazione di file APK sotto forma di falsi aggiornamenti
  • inviare file dalla memoria interna del dispositivo al server C&C 
  • attivare o disattivare la posizione GPS
  • capacità di keylogging (registrazione e cattura di tutti i tasti digitati)
  • capacità di aggiunta automatica alla lista delle “app protette” di Huawei, le quali possono avviarsi anche a schermo spento 
VIa: Securelist – Kaspersky

Gli attaccanti potevano controllare da remoto ogni dispositivo infetto usando diverse connessioni come HTTP, XMPP, SMS binari o FirebaseCloudMessaging. La prima campagna infettiva è partita nel 2015, nel corso degli anni lo spyware si è perfezionato ed ha aggiunto ulteriori funzionalità rendendolo di fatto di tipo multi-stadio o modulare. 

Metodo d’infezione

Il metodo d’infezione è attraverso campagne phishing con appositi siti web che camuffano quelli di alcuni operatori mobili (come Vodafone o Wind Tre) cercando di far scaricare all’utente un file che dovrebbe far “navigare alla massima velocità” l’utente; attualmente i domini non risultano più attivi. 

Esempio delle pagine phishing. Via: Securelist – Kaspersky

Secondo i ricercatori, grazie alla scoperta di file correlati allo spyware, ci sarebbero altre varianti dello spyware dedicate ad ambiente Windows e Linux, per ora però non sono state scoperte infezioni di questo genere.

Prestiamo quindi sempre MOLTA attenzione a quello che scarichiamo e non fidiamoci MAI di pagine come queste che sembrano promettere sempre cose strabilianti, inoltre accertiamoci che l’installazione di app da fonti non attendibili o sconosciute sia disabilitata correttamente. 

Approfondimento e fonti (anche per immagini): 

Articoli Correlati

Come avviare una distro live di KUbuntu per salvare i propri dati

Gli antivirus migliori del 2024

Come rimuovere Google Drive dall’Accesso Rapido