Pesquisadores de segurança descobriram um implante móvel avançado, ativo desde 2014 e projetado para a vigilância cibernética direcionada, possivelmente como um produto de ‘segurança ofensiva’. O implante, chamado Skygofree, inclui funcionalidades inéditas em campo, como gravação de áudio com base na localização por meio de dispositivos infectados. O spyware é propagado por páginas da Web que imitam as das grandes operadoras de celular.
O Skygofree é um spyware sofisticado com vários estágios que possibilita aos invasores o controle remoto total do dispositivo infectado. Ele foi desenvolvido continuamente desde que a primeira versão foi criada no final de 2014 e hoje inclui a capacidade de espreitar as conversas e ruídos em volta quando o dispositivo infectado entra em um local específico; um recurso ainda não observado em campo. Outros recursos avançados inéditos incluem o uso de Serviços de Acessibilidade para roubar mensagens do WhatsApp e a capacidade de conectar um dispositivo infectado a redes Wi-Fi controladas pelos invasores.
O implante contém várias exploits de acesso à raiz e também é capaz de tirar fotos e gravar vídeos, apossar-se de registros de chamadas, SMS, geolocalização, eventos do calendário e informações comerciais armazenadas na memória do dispositivo. Um recurso especial permite que ele contorne uma técnica de economia de bateria implementada por um importante fornecedor de dispositivos: o implante se adiciona à lista de ‘aplicativos protegidos’ para não ser desligado automaticamente quando a tela está apagada.
Os pesquisadores encontraram vários módulos desenvolvidos recentemente voltados a usuários do Windows, o que mostra que os invasores também têm interesse em usuários dessa plataforma.
A maioria das páginas falsas usadas para propagar o implante foi registrada em 2015, segundo a telemetria da Kaspersky Lab, durante o pico de atividade da campanha de distribuição. A campanha continua em andamento e o domínio mais recente foi registrado em outubro de 2017. Os dados mostram que houve várias vítimas até o momento, todas na Itália.
“É muito difícil identificar e bloquear o malware de ponta para dispositivos móveis, e os desenvolvedores por trás do Skygofree obviamente usaram isso em seu favor: criaram e desenvolveram um implante capaz de espionar amplamente seus alvos sem levantar suspeitas. Considerando os artefatos que descobrimos no código do malware e nossa análise da infraestrutura, temos muita confiança de que o desenvolvedor responsável pelos implantes do Skygofree é uma empresa de TI italiana que fornece soluções de vigilância, um tanto parecida com a HackingTeam”, comenta Alexey Firsh, analista de malware no setor de pesquisa de ataques direcionados da Kaspersky Lab.
Os pesquisadores descobriram 48 comandos diferentes que podem ser implementados pelos invasores, possibilitando extrema flexibilidade de uso.
Para ficar protegido de ameaças de malware avançadas para dispositivos móveis, os pesquisadores recomendam enfaticamente implementar uma solução de segurança confiável capaz de identificar e bloquear essas ameaças nos endpoints. Também é recomendável que os usuários tomem cuidado ao receber e-mails de pessoas ou organizações que não conhecem, além de solicitações ou anexos inesperados, e sempre confirmar a integridade e a origem dos sites antes de clicar em links. Em caso de dúvida, confirme com o provedor de serviços. Os administradores do sistema, por sua vez, devem ativar a funcionalidade de Controle de Aplicativos nas soluções de segurança para dispositivos móveis para controlar programas possivelmente perigosos vulneráveis a esse ataque.
