Scoperto Skygofree, nuovo pericoloso malware per dispositivi Android

Skygofree è una piattaforma di spia per Android che include diverse funzionalità avanzate, ed è stata scoperta e divulgata dalla società di sicurezza Kaspersky Lab. Secondo la fonte il malware è stato sviluppato da una società di sicurezza con sede in Italia che commercializza diversi servizi di sorveglianza e al suo interno implementa 48 comandi diversi sviluppati dal 2014 ad oggi. Il malware fa uso di bug di diversa natura per guadagnare l'accesso di root e aggirare le misure di sicurezza implementate nativamente sul sistema operativo mobile di Big G.

Attraverso diversi tool può scattare fotografie dal terminale vittima, registrare video, raccogliere informazioni sulle chiamate, sui messaggi di testo, sui dati della geolocalizzazione, sugli appuntamenti salvati sul calendario, e informazioni salvate nella memoria del dispositivo. Skygofree può inoltre registrare tutto quanto riesce a catturare il microfono del dispositivo quando lo smartphone si trova in una posizione specifica. Fra le altre funzionalità troviamo anche la possibilità di rubare i messaggi WhatsApp sfruttando Android Accessibility Service.

Inoltre, il malware italiano può collegare i dispositivi infetti a reti Wi-Fi compromesse e gestite dall'aggressore. Skygofree contiene anche altre feature avanzate, fra cui una reverse shell che consente agli aggressori di avere un controllo maggiore del dispositivo infetto, un keylogger e un sistema per la registrazione delle conversazioni via Skype. Il nuovo malware sembra molto simile a Pegasus for Android, scoperto nel mese di agosto 2016 all'interno di un terminale di un dissidente politico residente negli Emirati Arabi Uniti.

Pegasus è una piattaforma di spionaggio realizzata dalla israeliana NSO Group che, fra le tante funzioni presenti, implementa un keylogger e vari sistemi per la cattura di screenshot, video, registrazioni audio, gestione del terminale da remoto via SMS, ed esfiltrazione di dati da WhatsApp, Skype, Facebook, Twitter e Viber: "La piattaforma Skygofree Android è uno degli spyware più potenti che abbiamo mai visto su questa piattaforma", ha scritto Kaspersky. "Grazie al processo di sviluppo di lungo corso, offre tante straordinarie possibilità".

In questi tre anni Skygofree ha aumentato la sua efficacia pur riuscendo a rimanere nascosto ma, a analizzando il codice, Kaspersky ha trovato diversi indizi che conducono agli artefici dei tool. Le tracce includono domini come h3g.co, registrato dall'italiana Negg International. I ricercatori hanno dichiarato che il malware si diffonde attraverso landing page fake di Vodafone e altri operatori mobile, con domini registrati dal 2015. La campagna, inoltre, è ancora attiva, e parecchi utenti italiani potrebbero già essere rimasti infetti secondo la firma di sicurezza.