Clicky

Skygofree: descubierto potente spyware de Android

malware Android Skygofree

Permite a los atacantes capturar audio, imágenes, vídeos y mensajes de WhatsApp de forma remota

Investigadores de seguridad han presentado una de las herramientas de spyware más potentes y altamente avanzadas de Android que les da a los hackers el control total de forma remota de los dispositivos infectados.

Denominado Skygofree, el spyware de Android ha sido diseñado para la vigilancia específica, y se cree que se ha dirigido a una gran cantidad de usuarios durante los últimos cuatro años.

Desde 2014, el implante Skygofree ha ganado varias características novedosas que hasta ahora no se habían visto en la naturaleza, según un nuevo informe publicado por la firma rusa de seguridad cibernética Kaspersky Labs.

Las "nuevas características notables" incluyen la grabación de audio con el micrófono del dispositivo basada en la ubicación, el uso de los servicios de accesibilidad de Android para robar mensajes de WhatsApp y la capacidad de conectar dispositivos infectados a redes Wi-Fi maliciosas controladas por atacantes.

Skygofree se distribuye a través de falsas páginas web que imitan a los principales operadores de redes móviles, la mayoría de las cuales han sido registradas por los atacantes desde 2015, el año en que la campaña de distribución estuvo más activa, según los datos de telemetría de Kaspersky.

¿Firma italiana de TI detrás del spyware Skygofree?

Los investigadores de Kaspersky Lab creen que el hacker o grupo de piratería detrás de esta herramienta de vigilancia móvil ha estado activo desde 2014 y tienen su sede en Italia, el hogar del infame 'Hacking Team', uno de los mayores activistas del mundo en el comercio de spyware.

"Teniendo en cuenta los muchos artefactos que descubrimos en el código del malware, así como el análisis de la infraestructura, estamos bastante seguros de que el desarrollador de los implantes Skygofree es una empresa de TI italiana que trabaja en soluciones de vigilancia, al igual que HackingTeam", dijo el informe.

Kaspersky encontró varios dispositivos italianos infectados con Skygofree, que la empresa describió como uno de los implantes móviles más potentes y avanzados que haya visto en su vida.

Aunque la empresa de seguridad no ha confirmado el nombre de la empresa italiana detrás de este spyware, encontró en el código del spyware múltiples referencias a la compañía de tecnología con sede en Roma "Negg". Negg también se especializa en desarrollar y comercializar herramientas legales de piratería.

skygofree script

Skygofree: potente herramienta de software espía de Android

Una vez instalado, Skygofree oculta su icono e inicia los servicios en segundo plano para ocultar más acciones del usuario. También incluye una característica de autoprotección, que evita que se maten los servicios.

Desde el mes de octubre del año pasado, Skygofree se convirtió en una sofisticada herramienta de spyware de múltiples etapas que brinda a los atacantes el control remoto completo del dispositivo infectado utilizando una carga de shell inversa y una arquitectura de servidor de comando y control (C&C).

De acuerdo con los detalles técnicos publicados por los investigadores, Skygofree incluye múltiples exploits para escalar los privilegios de acceso raíz, lo que le permite ejecutar cargas más sofisticadas en los dispositivos Android infectados.

Una de estas cargas permite que el implante ejecute Shellcode y robe datos pertenecientes a otras aplicaciones instaladas en los dispositivos de destino, incluidos Facebook, WhatsApp, Line y Viber.

"Hay capacidades múltiples y excepcionales: uso de exploits múltiples para obtener privilegios de root, una estructura de carga compleja, [y] funciones de vigilancia nunca antes vistas", dijeron los investigadores.

El servidor de control de Skygofree (C&C) también permite a los atacantes capturar imágenes y videos de forma remota, capturar registros de llamadas y SMS, así como monitorear la geolocalización de los usuarios, eventos de calendario y cualquier información almacenada en la memoria del dispositivo.

Además de esto, Skygofree también puede grabar audio a través del micrófono cuando el dispositivo infectado se encuentre en una ubicación específica y la capacidad de forzar al dispositivo infectado a conectarse a redes Wi-Fi comprometidas controladas por el atacante, lo que permite ataques de hombre en el medio (man-in-the-middle).

El spyware utiliza "el servicio de accesibilidad de Android para obtener información directamente de los elementos mostrados en la pantalla, por lo que espera que se inicie la aplicación específica y luego analiza todos los nodos para encontrar mensajes de texto", dijo Kaspersky.

Los investigadores de Kaspersky también encontraron una variante de Skygofree dirigida a los usuarios de Windows, lo que sugiere que la próxima área de interés de los autores es la plataforma de Windows.

La mejor manera de evitar ser una víctima es evitar la descarga de aplicaciones a través de sitios web de terceros, tiendas de aplicaciones o enlaces proporcionados en mensajes de texto o correos electrónicos.

Jesus_Caceres