Il nome non è nuovo, ma il malware si è evoluto. Già presente dal 2014, Skygofree, che nulla ha a che fare con l’emittente televisiva a pagamento, si è diffuso in Italia a fine ottobre. Secondo Kaspersky Lab, sembra essere collegato alla società Milanese Hacking Team, che sviluppa sistemi di controllo remoti.
Iniziamo col dire che Skygofree è uno spyware: un software scaricato inconsapevolmente dall’utente. Questo programma viene utilizzato per raccogliere informazioni riguardanti le attività di una persona, che poi sono usate, senza il suo consenso, da organizzazioni per trarne profitto.
Gli spyware ledono la privacy utente, e le informazioni raccolte vengono usate, per esempio, per l’invio di pubblicità mirata. Inoltre, organizzazioni criminali utilizzano le informazioni di home banking per effettuare furti di denaro.
Il malware utilizza siti falsi di compagnie telefoniche, promettendo di aumentare la velocità internet sul telefono.
Skygofree ha delle funzioni molto particolari, alcune uniche. Un esempio? Può rintracciare la posizione del dispositivo sul quale è installato, attivandone la registrazione audio quando si trova in un determinato luogo. L’attaccante potrebbe quindi ascoltare le conversazioni che avvengono sul luogo di lavoro, e ottenere informazioni importanti.
Una tecnica interessante consiste poi nel connettersi a una rete WiFi controllata dagli attaccanti, senza che il proprietario attivi le connessioni sul dispositivo. È proprio questa funzione che fornisce ai malintenzionati dati sensibili come password o PIN, e dati bancari.
Lo spyware è inoltre in grado di monitorare applicazioni social e di messaggistica, come Facebook, WhatsApp, Messenger e Skype. Per leggere i messaggi di Whatsapp, Skygofree utilizza i servizi di accessibilità, per i quali ottiene l’autorizzazione mascherando la richiesta all’interno di altre.
Un’altra caratteristica del malware è che è in grado di attivare segretamente la fotocamera frontale e scattare una foto all’utente quando sblocca il device.
Se l’utente abbocca e l’applicazione viene scaricata, viene mostrato il seguente messaggio: “Dear Customer, we’re updating your configuration and it will be ready as soon as possible.” Contemporaneamente, però, nasconde all’utente un’icona che, cliccata inconsapevolmente, dà inizio a tutta una serie di processi in background che comunicano con il server dell’attaccante. Ovviamente, queste azioni sono nascoste agli utenti.
Skygofree fa uso di diversi payload, come l’exploit payload che sfrutta vulnerabilità conosciute di Android, per ottenere i permessi di amministratore. Altri esempi son il social payload, che ottiene i dati dalle applicazioni social, e il parser payload, che fa la stessa cosa ma ottenendo dati da applicazioni come WhatsApp o Messenger.
Per chi volesse approfondire, è possibile consultare un’appendice, fornita da Kaspersky Lab, che elenca tutti i payload, i domini compromessi e i comandi utilizzati da Skygofree.
Gli accorgimenti per proteggersi sono quelli classici. Non installate applicazioni che non siano quelle ufficiali, e munitevi di soluzioni che possano individuare file pericolosi o link sospetti. Infine, mantenete aggiornato il vostro device.
