16 de janeiro de 2018
Os pesquisadores da Kaspersky Lab descobriram um implante móvel malicioso avançado nunca visto antes, ativo desde 2014 e projetado para vigilância cibernética específica, possivelmente como um produto de ‘segurança ofensiva’. O implante, apelidado de Skygofree, inclui funcionalidades nunca antes vistas em circulação, como a gravação de áudio baseado em localização por meio de dispositivos infectados. Este spyware se espalha através de páginas da web que imitam as principais operadoras de rede móvel.
Imagem de Arthimedes via Shutterstock
Skygofree é um spyware avançado de vários níveis que dá aos atacantes controle total do dispositivo infectado remotamente. Ele passou por um desenvolvimento contínuo desde que a primeira versão foi criada no final de 2014 e agora inclui a capacidade de escutar conversas e ruídos ao seu redor quando um dispositivo infectado entra em um local específico, um recurso não visto anteriormente em circulação. Outros recursos avançados e nunca antes vistos incluem o uso de serviços de acessibilidade para roubar mensagens do WhatsApp, bem como a capacidade de conectar um dispositivo infectado a redes Wi-Fi controladas por invasores.
O implante carrega vários exploits para conceder acesso à raiz e também é capaz de tirar fotos e vídeos, capturar registros de chamadas, SMS, geolocalização, eventos de calendário e informações relacionadas aos negócios armazenadas na memória do dispositivo. Ele tem um recurso especial que permite contornar uma técnica de economia de bateria implementada por um dos principais fornecedores de dispositivos: o implante é adicionado à lista de “aplicativos protegidos” para que não desligue automaticamente quando a tela for desligada.
Os invasores também parecem estar interessados nos usuários do Windows, já que os pesquisadores descobriram vários módulos desenvolvidos recentemente para o Windows.
A maioria das páginas de destino falsas usadas para propagar o implante foram registradas em 2015, quando, de acordo com a telemetria da Kaspersky Lab, a campanha de distribuição estava no auge. A campanha ainda está em andamento e o domínio mais recente foi registrado em outubro de 2017. Os dados mostram que até o momento existem várias vítimas, todas na Itália.
“O malware móvel de última geração é muito difícil de identificar e bloquear, e os programadores por trás do Skygofree claramente usaram isso a seu favor, e é por isso que criaram e desenvolveram um implante que pode espionar amplamente seus alvos sem levantar suspeitas. Considerando os artefatos que descobrimos no código do malware e nossa análise da infraestrutura, temos certeza de que o programador por trás dos implantes Skygofree é uma empresa italiana de TI, que oferece soluções de vigilância, como HackingTeam “, disse ele. Alexey Firsh, Analista de Malware e Pesquisa de ataque direcionado na Kaspersky Lab.
Os pesquisadores encontraram 48 controles ou comandos diferentes que podem ser implementados por invasores, permitindo o máximo de flexibilidade de uso.
[+] Videos de nuestro canal de YouTube
