卡巴斯基实验室研究人员发现了一种先进的手机植入软件,这种软件从2014年起就开始活跃,被设计用来实施针对性的网络监控,而且该软件可能是出自“Offensive Security”之手。这种被称为Skygofree的手机植入软件包含之前从未见到过的功能,例如利用受感染设备进行基于地理位置的音频录音。这种间谍软件通过假冒的移动网络服务商的网页进行传播。
卡巴斯基实验室研究人员发现了一种先进的手机植入软件,这种软件从2014年起就开始活跃,被设计用来实施针对性的网络监控,而且该软件可能是出自“Offensive Security”之手。这种被称为Skygofree的手机植入软件包含之前从未见到过的功能,例如利用受感染设备进行基于地理位置的音频录音。这种间谍软件通过假冒的移动网络服务商的网页进行传播。
Skygofree是一种复杂的多阶段间谍软件,能够让攻击者完全远程控制受感染设备。从2014年底第一个版本创建以来,这种软件经历了持续的发展,现在它具备了当受感染的设备进入指定位置时能够窃听周围的对话和声音的能力——这一功能之前从未见过。其它高级和未曾有过的功能还包括使用无障碍服务来窃取WhatsApp信息以及将受感染设备连接到被攻击者控制的Wi-Fi网络的能力。
这种软件包含多个具有root访问权限的漏洞利用程序,还能够拍摄照片和视频,窃取通话记录、短信、地理位置、日历事件和存储在设备内存中的业务相关信息。它还采用了一种特殊的功能绕过电池省电技术,将自己添加到了“受保护应用”名单中,从而可以保证在设备屏幕关闭时不被自动关闭。
攻击者似乎对Windows用户也有兴趣,研究人员发现了多个最近开发的针对这一平台的模块。
用来传播这种软件的大多数假冒落地页面都注册于2015年,而根据卡巴斯基实验室的遥测数据,当时正是这种恶意软件的传播活动最积极的时期。现在,这种恶意传播活动仍在进行,最近的域名于2017年10月登记。数据显示,迄今为止,已有数名受害者出现,全都位于意大利。
卡巴斯基实验室针对性攻击研究员,病毒分析师Alexey Firsh说。“高端手机恶意软件很难识别和拦截,很明显,Skygofree背后的开发者就利用了这一优势:制作和改进了一款植入软件,能够对目标进行全访问监控,同时又不会引起怀疑。根据我们在恶意软件代码中发现的证据以及我们对于其基础设施的分析,我们有足够的信息认为SkygoFree植入软件背后的开发者是一家提供监控解决方案的意大利IT公司,而不是黑客团队。”
研究人员发现攻击者可以通过这种软件执行48个不同的命令,从而可以最大限度地灵活使用该软件。
为了抵御高级手机恶意软件威胁,卡巴斯基实验室强烈建议用户部署能够在端点识别和拦截这类威胁的可靠安全解决方案,例如卡巴斯基移动安全解决方案。我们还进一步建议用户在收到来自不认识的人员或组织的电子邮件时,或者在发现意外的请求或附件时要格外小心,在点击任何链接之前,一定要核实其真实性和来源。如有疑问,请拨打服务提供商的电话进行确认。建议系统管理员开启移动安全解决方案中的应用控制功能,控制潜在的易受攻击的应用。
卡巴斯基实验室将安卓平台下的Skygofree检测为HEUR:Trojan.AndroidOS.Skygofree.a和 HEUR:Trojan.AndroidOS.Skygofree.b, Windows平台下的样本检测结果为UDS:DangerousObject.Multi.Generic。
更多信息,包括Skygofree的命令列表、感染迹象、域名地址以及植入漏洞模块针对的设备类型等信息详见Securelist.com.
注:Skygofree的命名是基于它使用的其中一个域名包含的词语。这种恶意软件与Sky、Sky Go或其他Sky的子公司无关,不会影响Sky Go服务和应用。
网友评论