Skygofree je sofistikovaný několikaúrovňový spyware, který útočníkům umožňuje získat úplnou vzdálenou kontrolu nad napadeným zařízením. Od svého vytvoření na konci roku 2014 prošel výrazným vývojem. Nyní je schopen zapnout tajné nahrávání konverzací či zvuků v dosahu zařízení. Tento odposlech se aktivuje pouze tehdy, kdy se infikované zařízení nachází v určitých místech. Podobné funkcionality nebyly doposud u takto škodlivých programů detekovány. Mezi další pokročilé schopnosti spywaru, se kterými se odborníci dosud nesetkali, patří využití Accessibility Services. Díky nim mohou útočníci odcizit zprávy ze služby WhatsApp a připojit zařízení k WiFi síti, kterou ovládají.

Útočníci mohou prostřednictvím spywaru a řady jeho exploitů získat přístup k rootovacím procesům, pořizovat snímky a videa, zaznamenávat telefonáty, získat SMS či polohu zařízení. Skrz kalendář se mohou dostat i k informacím o obchodních jednáních a plánovaných událostech. Speciální funkce navíc zločincům umožňuje obejít tovární nastavení úspory energie – spyware se sám přidá mezi „chráněné aplikace“, které se automaticky nevypnou po zhasnutí obrazovky.

I když jsou prvotním cílem kyberzločinců uživatelé Androidu, zajímají se také o uživatele Windows. Napovídají tomu před nedávnem objevené verze zaměřené na tuto platformu. Většina falešných stránek, které slouží k šíření spywaru, byla zaregistrována v roce 2015. V té době podle telemetrie Kaspersky Lab došlo k největšímu šíření této kyberzločinné kampaně, která však stále pokračuje. Nejnovější doména byla zaregistrována v říjnu loňského roku. Z dat společnosti vyplývá, že se obětí spywaru stalo několik uživatelů z Itálie.

„Pokročilý mobilní malware je velmi obtížné detekovat a blokovat, a kyberzločinci stojící za Skygofree jsou si toho velmi dobře vědomi. Vyvinuli tak spyware, který je schopný bez povšimnutí špehovat vlastníky napadených zařízení. Na základě objevených částí malwarového kódu a naší analýzy infrastruktury jsme nabyli přesvědčení, že za spywarem Skygofree stojí italská IT firma nabízející sledovací řešení, jako je například HackingTeam,“komentuje Alexey Firsh, malwarový analytik z týmu zaměřeného na cílené útoky společnosti Kaspersky Lab.

Odborníci našli 48 různých příkazů, které mohou být útočníky implementovány, a které jim umožňují maximální flexibilitu. Produkty Kaspersky Lab detekují verzi Skygofree pro Android jako HEUR:Trojan.AndroidOS.Skygofree.a a HEUR:Trojan.AndroidOS.Skygofree.b. Verze zacílená na Windows nese označení UDS:DangerousObject.Multi.Generic.

Další informace včetně seznamu příkazů Skygofree, indikátorů napadení, doménových adres a přehledu modelů zařízení napadených exploity jsou dostupné na blogu Securelist.com.