Il nome non è nuovo, ma il malware si è evoluto. Già presente dal 2014, Skygofree, che nulla ha a che fare con l’emittente televisiva a pagamento, si è diffuso in Italia a fine ottobre. Secondo Kaspersky Lab, sembra essere collegato alla società Milanese Hacking Team, che sviluppa sistemi di controllo remoti.

Cos’è Skygofree?

Iniziamo col dire che Skygofree è uno spyware: un software scaricato inconsapevolmente dall’utente. Questo programma viene utilizzato per raccogliere informazioni riguardanti le attività di una persona, che poi sono usate, senza il suo consenso, da organizzazioni per trarne profitto.

Il tweet di Kaspersky Lab su Skygofree
Il tweet di Kaspersky Lab sul malware Skygofree.

Gli spyware ledono la privacy utente, e le informazioni raccolte vengono usate, per esempio, per l’invio di pubblicità mirata. Inoltre, organizzazioni criminali utilizzano le informazioni di home banking per effettuare furti di denaro.

Le caratteristiche di Skygofree

Il malware utilizza siti falsi di compagnie telefoniche, promettendo di aumentare la velocità internet sul telefono.

I domini utilizzati da Skygofree
Esempio del sito web utilizzato da Skygofree, e del messaggio mostrato all’utente. Credits: lesnumeriques.com

Skygofree ha delle funzioni molto particolari, alcune uniche. Un esempio? Può rintracciare la posizione del dispositivo sul quale è installato, attivandone la registrazione audio quando si trova in un determinato luogo. L’attaccante potrebbe quindi ascoltare le conversazioni che avvengono sul luogo di lavoro, e ottenere informazioni importanti.

Una tecnica interessante consiste poi nel connettersi a una rete WiFi controllata dagli attaccanti, senza che il proprietario attivi le connessioni sul dispositivo. È proprio questa funzione che fornisce ai malintenzionati dati sensibili come password o PIN, e dati bancari.

I servizi usati da Skygofree
Lista dei servizi in background utilizzati da Skygofree, con relativo scopo. Credits: securelist.com

Lo spyware è inoltre in grado di monitorare applicazioni social e di messaggistica, come Facebook, WhatsApp, Messenger e Skype. Per leggere i messaggi di Whatsapp, Skygofree utilizza i servizi di accessibilità, per i quali ottiene l’autorizzazione mascherando la richiesta all’interno di altre.

Un’altra caratteristica del malware è che è in grado di attivare segretamente la fotocamera frontale e scattare una foto all’utente quando sblocca il device.

Come agisce?

Se l’utente abbocca e l’applicazione viene scaricata, viene mostrato il seguente messaggio: “Dear Customer, we’re updating your configuration and it will be ready as soon as possible.” Contemporaneamente, però, nasconde all’utente un’icona che, cliccata inconsapevolmente, dà inizio a tutta una serie di processi in background che comunicano con il server dell’attaccante. Ovviamente, queste azioni sono nascoste agli utenti.

Skygofree fa uso di diversi payload, come l’exploit payload che sfrutta vulnerabilità conosciute di Android, per ottenere i permessi di amministratore. Altri esempi son il social payload, che ottiene i dati dalle applicazioni social, e il parser payload, che fa la stessa cosa ma ottenendo dati da applicazioni come WhatsApp o Messenger.

Esempio di social payload di Skygofree
Esempio di social payload di Skygofree, in questo caso per l’ottenimento di informazioni da Facebook. Credits: securelist.com

Per chi volesse approfondire, è possibile consultare un’appendice, fornita da Kaspersky Lab, che elenca tutti i payload, i domini compromessi e i comandi utilizzati da Skygofree.

Come proteggersi?

Gli accorgimenti per proteggersi sono quelli classici. Non installate applicazioni che non siano quelle ufficiali, e munitevi di soluzioni che possano individuare file pericolosi o link sospetti. Infine, mantenete aggiornato il vostro device.

LASCIA UN COMMENTO