Skygofree — один из самых продвинутых зловредов под Android

Антивирусная компания «Лаборатория Касперского» объявила об обнаружении уникального в своём роде Android-зловреда Skygofree, который своими возможностями заставил специалистов компании вспомнить голливудские фильмы про шпионов.

У него полно разных функций, в том числе есть и уникальные, которые больше нигде не встречались. Например, он умеет отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи определённых координат. На практике это значит, что злоумышленники могут начать прослушивать окружение жертвы, скажем, когда она входит в офис или в гости к знакомому финансовому директору.

Ещё один интересный приём, который освоил Skygofree, — втихую подключать заражённый смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве. Это позволяет собирать и анализировать трафик жертвы. Иными словами, кто-то будет точно знать, на какие сайты заходила жертва и какие логины, пароли и номера карт вводила.

Есть у зловреда и пара функций, облегчающая ему работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления. А на смартфонах одного из крупнейших производителей, которые при выключении экрана останавливают работу всех приложений, кроме избранных, Skygofree сам добавляет себя в список этих самых избранных.

Также зловред умеет следить за работой популярных приложений вроде Facebook Messenger, Skype, Viber, WhatsApp. Причем в последнем случае разработчики вновь проявили смекалку — троян читает переписку в WhatsApp, используя инструмент «Специальные возможности» (Accessibility Services), предназначенный для пользователей со слабым зрением или слухом. Использовать Accessibility Services можно только с разрешения пользователя, но зловред прячет запрос на это разрешение за каким-нибудь другим, внешне безобидным запросом.

Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство. Кроме того, у Skygofree остались стандартные для обычных зловредов функции по перехвату звонков, смс, записей календаря и прочих данных пользователя.

Обнаружили Skygofree недавно, в конце 2017 года, однако, судя по результатам анализа, злоумышленники используют его ещё с 2014-го и постоянно совершенствуют. За три года из простенького зловреда он вырос до многофункционального шпионского инструмента.

Зловред распространяется через Интернет, используя поддельные сайты сотовых операторов. На них злоумышленники предлагают установить Skygofree под видом обновления, которое повысит скорость мобильного доступа к Интернету. Если посетитель попадается на удочку и скачивает себе заразу, троян показывает уведомление о якобы начавшейся настройке, прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от ответа он может скачивать самую разную полезную нагрузку.

В «Лаборатории Касперского» заявили, что пока их служба безопасности зафиксировала всего несколько заражений, причём все — в Италии. Однако в компании отметили, что это не значит, что российским пользователям можно расслабиться: преступники могут в любой момент сменить целевую аудиторию зловреда.