Skygofree: un software de vigilancia Android activo desde 2014

Los investigadores de Kaspersky Lab han descubierto un implante móvil avanzado, activo desde 2014 y diseñado para realizar cibervigilancia específica, posiblemente como un producto de seguridad ofensiva. El implante, llamado Skygofree, incluye una funcionalidad nunca vista antes, como la grabación de audio basada en la ubicación a través de dispositivos infectados.

También puedes leer... La nueva Mafia El riesgo de los altavoces inteligentes Los cinco grandes mitos de las Brechas de Seguridad Consideraciones para la creación de un SOC Cómo utilizar la Dark Web para la inteligenciad de amenazas

Skygofree es un sofisticado spyware de múltiples etapas que brinda a los atacantes el control remoto completo de un dispositivo infectado. Ha experimentado un desarrollo continuo desde que se lanzó la primera versión, y ahora incluye la capacidad de espiar las conversaciones y el ruido que rodea al dispositivo infectado cuando está en una ubicación específica. Otras características avanzadas incluyen el uso de los servicios de accesibilidad para robar mensajes de WhatsApp y la capacidad de conectar un dispositivo infectado a redes Wi-Fi controladas por los atacantes.

El implante lleva múltiples exploits para acceso root y también es capaz de tomar fotos y videos, capturar registros de llamadas, SMS, geolocalización, eventos del calendario e información relacionada con el negocio almacenada en la memoria del dispositivo. Una característica especial le permite eludir la función de ahorro de batería del dispositivo, agregándose a la lista de 'aplicaciones protegidas' para que no se apague automáticamente cuando la pantalla está apagada. Los atacantes también parecen estar interesados en los usuarios de Windows, ya que los investigadores encontraron una serie de módulos dirigidos a esta plataforma.

El spyware se propaga a través de páginas web que imitan a los principales operadores de redes móviles. La mayoría de las páginas falsas usadas para propagar el implante se registraron en 2015, cuando la campaña de distribución estaba en su punto más activo. La campaña sigue activa y el dominio más reciente se registró en octubre de 2017. Los datos muestran que hasta la fecha ha habido varias víctimas, todas en Italia.

"El malware móvil avanzado es muy difícil de identificar y bloquear, y los desarrolladores detrás de Skygofree han usado claramente esto para crear y desarrollar un implante que pueda espiar ampliamente los objetivos sin despertar sospechas. Teniendo en cuenta los comandos que descubrimos en el código del malware y nuestro análisis de la infraestructura, tenemos un alto nivel de confianza de que el desarrollador detrás de los implantes Skygofree es una empresa italiana de TI que ofrece soluciones de vigilancia, como HackingTeam", asegura Alexey Firsh, analista de malware del equipo de Investigación de Ataques Dirigidos de Kaspersky Lab.