Skygofree el nuevo malware de Android con capacidades de espionaje nunca antes vistas
El año pasado, los investigadores encontraron lo que en su momento fue posiblemente la aplicación de espionaje más sofisticada del mundo jamás escrita para el sistema operativo móvil Android. Ahora, en un nuevo descubrimiento los investigadores han descubierto una nueva plataforma de espionaje de Android que incluye grabación de audio basada en la ubicación y otras características que nunca antes se habían visto en este tipo de malware.
Según un nuevo informe publicado el martes por el proveedor de antivirus Kaspersky Lab, "Skygofree" es probablemente un producto de seguridad ofensivo vendido por una empresa de TI con sede en Italia que comercializa diversos productos de vigilancia. Con 48 comandos diferentes en su última versión, el malware ha experimentado un desarrollo continuo desde su creación a finales de 2014. Se basa en cinco exploits para obtener acceso privilegiado a la raíz que le permite eludir las principales medidas de seguridad de Android. Skygofree es capaz de tomar fotos, capturar videos y capturar registros de llamadas, mensajes de texto, datos de geolocalización, eventos de calendario e información relacionada con el negocio almacenada en la memoria del dispositivo.
Skygofree también incluye la capacidad de grabar automáticamente conversaciones y ruido cuando un dispositivo infectado ingresa en una ubicación especificada por la persona que opera el malware. Otra característica nunca antes vista es la capacidad de robar mensajes de WhatsApp al abusar del servicio de accesibilidad de Android que está diseñado para ayudar a los usuarios con discapacidades o que temporalmente no pueden interactuar por completo con un dispositivo. Una tercera característica nueva: la capacidad de conectar dispositivos infectados a redes Wi-Fi controladas por atacantes.
Skygofree también incluye otras características avanzadas, incluida una capa inversa que les brinda a los operadores de programas maliciosos un mejor control remoto de los dispositivos infectados. El malware también viene con una variedad de componentes de Windows que proporcionan, entre otras cosas, un shell inverso, un keylogger y un mecanismo para grabar conversaciones de Skype.
El malware es Italiano?
El malware recientemente documentado está más o menos a la par con malware de Pegasus para Android, la aplicación complementaria de Pegasus para iOS, que se descubrió en agosto de 2016 infectando al iPhone de un político ubicado en los Emiratos Árabes Unidos. Pegasus es una plataforma de espionaje con todas las funciones desarrollada por NSO Group, con sede en Israel; Realiza captura de pantalla, captura de pantalla, captura de audio y video en vivo, control remoto del malware a través de mensajes SMS y extracción de datos de aplicaciones comunes como WhatsApp, Skype, Facebook, Twitter y Viber.
"El implante Android Skygofree es una de las herramientas de spyware más poderosas que hemos visto para esta plataforma", escribieron los investigadores de Kaspersky Lab. "Como resultado del proceso de desarrollo a largo plazo, existen capacidades múltiples y excepcionales". Los tres años de evolución constante le han permitido a Skygofree ofrecer nuevas capacidades y, al mismo tiempo, permanecer encubiertas.
Eso no quiere decir que el malware es perfecto. Las diversas versiones examinadas por Kaspersky Lab contenían varios artefactos que proporcionan pistas valiosas sobre las personas que pueden haber desarrollado y mantenido el código. Las huellas incluyen el nombre de dominio "h3g.co", que fue registrado por la firma italiana de TI Negg International.
Los investigadores de Kaspersky Labs dijeron que el malware se propaga a través de páginas web que imitan los sitios de Vodafone y otros operadores móviles. Los dominios utilizados llevan registrados desde 2015 y la campaña continúa en curso. Kaspersky Labs dijo que los datos que encontró indicaron que varias personas en Italia se han infectado.
Webs Falsas que imitan a las de las operadoras
Skygofree es un recordatorio de que el llamado software de implantes vendido a los gobiernos y las fuerzas policiales, a veces en países con bajos niveles de derechos humanos, sigue siendo una amenaza para las personas que utilizan una amplia variedad de dispositivos y sistemas operativos. Los usuarios que creen que probablemente sean objetivos siempre deben prestar mucha atención a las direcciones de sitios web que visitan y, cuando sea posible, instalar el software solo en tiendas de aplicaciones oficiales.