Специалисты «Лаборатории Касперского» рассказали, что еще в конце 2017 года им удалось обнаружить многофункциональное ПО для целенаправленной слежки с помощью мобильных устройств. Вредонос получил название Skygofree и, по данным экспертов, он активен по меньшей мере с 2014 года.
Исследователи пишут, что некоторые функции, которыми оснащен Skygofree, ранее не встречались нигде и являются уникальными. К примеру, малварь способна отслеживать местоположение зараженного устройства и включать запись звука лишь тогда, когда жертва оказывается вблизи определенных координат. Таким образом злоумышленники могут прослушивать свою жертву только во время посещения конкретных мест, к примеру, только на работе.
Кроме того, Skygofree способен подключать устройство пострадавшего к Wi-Fi сетям, которые находятся под полным контролем операторов малвари. Это может происходить даже в том случае, если владелец устройства вообще отключил Wi-Fi. Так преступники анализируют трафик своих жертв, изучая, какие сайты посещал пользователь, и какие логины, пароли или номера банковских карт он вводил.
Суммарно эксперты насчитали в Skygofree 48 различных шпионских функций. В числе прочего малварь умеет следить за работой популярных приложений (Facebook Messenger, Skype, Viber, WhatsApp). Причем в случае WhatsApp вредонос читает переписку жертвы через «Специальные возможности» (Accessibility Services). Также Skygofree способен делать фотографии и снимать видео, перехватывать телефонные звонки и SMS, собирать информацию о местоположении устройства, событиях в календаре и данные, хранящиеся в памяти девайса. Авторы малвари даже реализовали функцию, позволяющую Skygofree обходить технологию энергосбережения: малварь добавляет себя в список защищенных приложений, благодаря чему при выключении экрана работа вредоноса не сворачивается автоматически.
Хотя Skygofree ориентирован в первую очередь на мобильные устройства, исследователи также обнаружили несколько модулей для Windows.
Распространяется Skygofree через сайты, имитирующие реальные сайты ведущих мобильных операторов. На таких ресурсах пользователю предлагают установить малварь под видом обновления, которое якобы повысит скорость мобильного доступа к интернету. Если пользователь попадается на удочку и скачивает «обновление», вредонос демонстрирует жертве уведомление о начавшейся настройке, а затем прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от полученного ответа Skygofree может загружать самую разную полезную нагрузку.
По данным «Лаборатории Касперского», к настоящему моменту от Skygofree пострадали лишь несколько пользователей, и все они находятся в Италии. Исследователи пишут, что за созданием малвари, скорее всего, стоит некая неназванная в отчете итальянская фирма. Судя по всему, речь идет о компании Negg International, которая предлагает широкий спектр услуг, в том числе в сферах кибербезопасности, мобильной и веб-разработки. В этом случае вполне вероятно, что аналитики «Лаборатории Касперского» обнаружили инструмент, разработанный Negg International по заказу правоохранительных органов, который те применяют для слежки за подозреваемыми во время проведения следственных мероприятий.
Подробная техническая информация о вредоносе доступна в официальном отчете экспертов.
Фото: "Лаборатория Касперского"