I laboratori Kaspersky hanno individuato un nuovo spyware che colpisce unicamente utenti nel territorio italiano con capacità e caratteristiche che lo rendono il più avanzato strumento di spionaggio/sorveglianza di tipo mobile rilevato in-the-wild. Cerchiamo di capirne il motivo.
Le caratteristiche dello spyware
Questo particolare spyware, denominato “Skygofree”, è stato analizzato dai laboratori Kaspersky i quali hanno evidenziato che nel codice sono presenti numerosi commenti e stringhe in lingua italiana, cosa che rende lo strumento dedicato a colpire solo utenti di lingua italiana.
Ora vediamo invece quali sono le capacità reali di questo spyware:
- registrazione audio ambientale tramite microfono del dispositivo, funzione che può esser attivata in luoghi specifici
- sfruttando exploit nelle funzioni di accessibilità può estrarre i messaggi di app come Whatsapp, messenger, Line e Viber
- estrazione del registro chiamate
- connessione automatica alle reti Wi-Fi dei criminali
- scaricamento ed installazione di file APK sotto forma di falsi aggiornamenti
- inviare file dalla memoria interna del dispositivo al server C&C
- attivare o disattivare la posizione GPS
- capacità di keylogging (registrazione e cattura di tutti i tasti digitati)
- capacità di aggiunta automatica alla lista delle “app protette” di Huawei, le quali possono avviarsi anche a schermo spento
Gli attaccanti potevano controllare da remoto ogni dispositivo infetto usando diverse connessioni come HTTP, XMPP, SMS binari o FirebaseCloudMessaging. La prima campagna infettiva è partita nel 2015, nel corso degli anni lo spyware si è perfezionato ed ha aggiunto ulteriori funzionalità rendendolo di fatto di tipo multi-stadio o modulare.
Metodo d’infezione
Il metodo d’infezione è attraverso campagne phishing con appositi siti web che camuffano quelli di alcuni operatori mobili (come Vodafone o Wind Tre) cercando di far scaricare all’utente un file che dovrebbe far “navigare alla massima velocità” l’utente; attualmente i domini non risultano più attivi.
Secondo i ricercatori, grazie alla scoperta di file correlati allo spyware, ci sarebbero altre varianti dello spyware dedicate ad ambiente Windows e Linux, per ora però non sono state scoperte infezioni di questo genere.
Prestiamo quindi sempre MOLTA attenzione a quello che scarichiamo e non fidiamoci MAI di pagine come queste che sembrano promettere sempre cose strabilianti, inoltre accertiamoci che l’installazione di app da fonti non attendibili o sconosciute sia disabilitata correttamente.
Approfondimento e fonti (anche per immagini):
- BleepingComputer.com
- Skygofree: Following in the footsteps of HackingTeam
- CertNazionale Italia