I ricercatori di sicurezza di Kaspersky Lab hanno scoperto un nuovo e potente ceppo di spyware Android che credono sia stato creato da un’azienda IT italiana probabilmente attiva nel mercato dei software di sorveglianza.
I ricercatori hanno nominato questo nuovo spyware Skygofree basato su alcuni dei nomi di dominio utilizzati nella sua infrastruttura. Le prove dell’attività di Skygofree risalgono al 2014, ma il malware è stato più attivo nel 2016.
Skygofree utilizzato solo in Italia.
Come riportano i ricercatori di Kaspersky in un report che analizza in modo dettagliato il software è tutta italiana anche la diffusione del malware. Skygofree è stato infatti distribuito negli ultimi 3 anni attraverso una serie di pagine Web e, nel corso del tempo, è stato aggiornato più volte. Secondo gli analisti, che hanno esaminato tutte le versioni dello spyware, in un primo momento era piuttosto elementare e non utilizzava nemmeno tecniche di offuscamento del codice.I ricercatori hanno anche detto che il codice dello spyware conteneva più stringhe e commenti scritti in italiano, il che suggerisce che lo spyware è stato appositamente sviluppato per essere indirizzato solo agli utenti italiani. Kaspersky ha affermato di aver incontrato molte stringhe e artefatti “negg” nelle campagne Skygofree. Negg International è il nome di un’azienda italiana di software IT che pubblicizza un’ampia gamma di servizi, tra cui la sicurezza informatica e lo sviluppo di app mobili e web. Mentre Kaspersky non ha ufficialmente identificato Negg come l’autore di Skygofree, tutte le prove suggeriscono questa conclusione. Di seguito la serie di istruzioni che il software può attivare:
☠ Record audio and upload file on a remote server
☠ Record surrounding audio when victim is in a certain geographical location
☠ Location tracking with movement detection
☠ GSM tracking (CID, LAC, PSC)
☠ Steal data from the phone’s clipboard
☠ Keylogging features
☠ Search files and upload stolen files to a remote server
☠ Skygofree can be controlled via HTTP, XMPP, binary SMS, and FirebaseCloudMessaging protocols
☠ Create a new Wifi connection and force the user’s phone to connect to it. Feature used for forcing phones into a network where someone can perform MitM traffic sniffing.
☠ Can add itself to the “Protected Apps” list on Huawei devices. Apps on this list are allowed to run when the phone screen is turned off.
☠ A reverse shell for sending commands to infected devices.
☠ Contains rooting exploits (CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636).
☠ Can extract data from IM apps such as Line, Viber, WhatsApp, Facebook, and Facebook Messenger.
☠ Contains a unique exploit that uses the Android Accessibility service to read conversations displayed on the user’s screen inside WhatsApp.
