21/01/2018

21/01/2018

Skygofree, a assombrar o Android desde 2014



Uma das missões do Kaspersky Lab é monitorizar a utilização de diferentes plataformas, estando o Android no topo das suas atenções. Este laboratório descobriu recentemente um spyware que está a funcionar desde 2014, destinado a cibervigilância, possivelmente como um “produto ofensivo” de segurança. Esta ferramenta inclui funcionalidades só agora detectadas detectadas, como gravação de áudio com base na localização do dispositivo infectado.

O Skygofree é um spyware sofisticado e de múltiplas camadas que proporciona aos hackers total controlo remoto do dispositivo infetado. Tem sido continuamente desenvolvido desde a criação da sua primeira versão, no final de 2014, e agora inclui a capacidade de escutar conversas à sua volta e alertar quando um dispositivo infetado entra numa localização específica – uma caraterística nunca antes vista. Outras funcionalidades avançadas incluem utilizar os Serviços de Acessibilidade para obter mensagens do WhatsApp, e a capacidade de conectar um dispositivo infetado a redes Wi-Fi controladas pelos hackers.

O implante inclui vários exploits de acesso à raiz, e é capaz de tirar fotografias e gravar vídeos, apagar os registos de chamadas, mensagens, localização, eventos do calendário e informações associadas a empresas armazenados na memória do dispositivo. Uma funcionalidade especial permite-lhe evitar uma técnica de poupança de bateria implementada por um fornecedor de topo: o implante adiciona-se automaticamente à lista de “aplicações protegidas” para que não seja desligado quando o ecrã está suspenso.

Os hackers aparentam ter também interesse nos utilizadores de Windows e os investigadores descobriram vários módulos recentes desenvolvidos para atacar este sistema.

A maioria das falsas páginas iniciais utilizadas para difundir o implante foram registadas em 2015 quando, de acordo com a telemetria da Kaspersky Lab, a campanha de distribuição estava no seu auge. Esta ainda está a decorrer e o domínio mais recente foi registado em outubro do ano passado. A informação demonstra que existem várias vítimas, todas em Itália.

“O malware móvel avançado é muito difícil de identificar e bloquear e os programadores responsáveis pelo Skygofree têm claramente usado isto a seu favor: criaram e desenvolveram um implante que pode espiar exaustivamente os seus alvos sem levantar suspeitas. Tendo em consideração os artefactos que descobrimos no código do malware e a nossa análise da infraestrutura, estamos bastante confiantes que o programador responsável pelos implantes Skygofree é uma empresa italiana de IT que oferece soluções de vigilância, semelhante à HackingTeam.” – afirmou Alexey Firsh, analista de malware e investigador de ataques direcionados na Kaspersky Lab.
Os investigadores encontraram 48 comandos diferentes que podem ser implementados pelos hackers, permitindo uma utilização flexível.

Para se manter protegido de ameaças malware avançadas, a Kaspersky Lab recomenda a implementação de uma solução de segurança de confiança que possa identificar e bloquear este tipo de ameaças de endpoints, como a Kaspersky Security for Mobile. Os utilizadores são aconselhados a estar atentos a emails que recebam de pessoas ou organizações que não conheçam, com pedidos ou anexos inesperados – e para verificarem sempre a integridade e origem dos sites antes de os abrirem. Quando em dúvida, contactar o fornecedor de serviços para verificar a sua origem. Administradores de sistema são aconselhados a acionar a funcionalidade de Controlo de Aplicações nas definições de segurança dos seus telemóveis para controlarem os programas potencialmente perigosos que são vulneráveis a este tipo de ataques.

Os produtos da Kaspersky Lab detetam as versões de Skygofree para Android como
HEUR:Trojan.AndroidOS.Skygofree.a e HEUR:Trojan.AndroidOS.Skygofree.b, e as amostras de Windows como UDS:DangerousObject.Multi.Generic.

Mais informações, incluindo a lista de comandos, indicadores de risco, endereços de domínios e modelos de dipositivos atacados pelos módulos exploit do implante Skygofree, estão disponíveis em Securelist.com.

Notas:

O Skygofree é assim chamado pois a palavra foi usada num dos seus domínios. O malware não tem qualquer ligação à Sky, Sky Go ou qualquer outra subsidiária da Sky, e não afeta os serviços ou aplicações Sky Go.

0 comments:

Publicar um comentário