Skygofree es un sofisticado spyware multi-fase que permite que ciberdelincuentes se hagan con el control remoto del dispositivo infectado.
Desde su creación, a finales de 2014, su desarrollo ha continuado y ahora incluye la posibilidad de espiar las conversaciones y el ruido que rodea a un dispositivo infectado cuando el usuario introduce una ubicación concreta, alg oque no se había visto hasta ahora. Entre otras funciones avanzadas y novedosas se incluye el uso de los servicios de accesibilidad para hacerse con mensajes de WhatsApp, así como la posibilidad de conectar el dispositivo a redes Wi-Fi controladas por los cibercriminales.
El implante incluye múltiples exploits de acceso root y también es capaz de hacer fotos y vídeos, capturar registros de llamadas, SMS, geolocalización, eventos de calendario e información empresarial almacenada en la memoria del dispositivo. Un desarrollo especial le permite eludir la técnica de ahorro de batería: el implante se suma a la lista de “aplicaciones protegidas” para que no se desconecte automáticamente cuando la pantalla está apagada.
Los ciberdelincuentes parece que también están interesados en usuarios de Windows. Los analistas de Kaspersky Lab han encontrado recientemente una serie de módulos dirigidos contra esta plataforma.
La mayoría de las páginas de inicio falsas utilizadas para propagar el implante se registraron en 2015 cuando, de acuerdo con la telemetría de Kaspersky Lab, la campaña estaba en su punto álgido. La campaña sigue en activo y el dominio más reciente se ha registrado el pasado mes de octubre de 2017. Hasta la fecha, según la información disponible, se han identificado varias víctimas, todas ellas en Italia.
«El malware móvil de alta gama es muy difícil de identificar y bloquear, ventaja que los desarrolladores que están detrás de Skygofree han sabido aprovechar para crecer y desarrollar un implante que puede espiar a sus objetivos sin despertar sospechas. Teniendo en cuenta lo descubierto en el código de malware y nuestro análisis de infraestructura, tenemos la certeza de que el desarrollador que está detrás de los implantes Skygofree es una compañía de TI italiana que ofrece soluciones de vigilancia, algo parecido a HackingTeam”, afirma Alexey Firsh, analista de Malware, Investigación de Ataques Dirigidos de Kaspersky Lab.
Los analistas han identificado hasta 48 comandos diferentes que pueden llegar a implementar los ciberdelincuentes, lo que permite una flexibilidad de uso importante.
Para estar protegido frente a las amenazas avanzadas del malware móvil, Kaspersky Lab recomienda implementar una solución de seguridad fiable que pueda identificar y bloquear dichas amenazas en los endpoints, como Kaspersky Security for Mobile. Los usuarios deben tener cuidado cuando reciban correos electrónicos de personas u organizaciones que no conocen o con solicitudes o archivos adjuntos inesperados, y que siempre comprobar el origen de los sitios web antes de hacer clic en los enlaces.
En caso de duda deben llamar al proveedor de servicio para verificarlo. Igualmente, se recomienda a los administradores del sistema que activen la funcionalidad de control de aplicaciones en las soluciones de seguridad móvil para así controlar los daños a los programas potencialmente vulnerables a este ataque
Más información, incluida una lista de los comandos de Skygofree, indicadores de compromiso, direcciones de dominio y modelos de dispositivos objetivos para los módulos exploit de los implantes en Securelist.com.