Roma, 16 gen. (askanews) – Un nuovo malware mobile avanzato, attivo dal 2014 e progettato, forse da un’azienda italiana, per condurre attività di cyber spionaggio mirato. I ricercatori di Kaspersky Lab hanno reso nota un’analisi nella quale annunciano di aver scoperto questo nuovo tipo di software, chiamato Skygofree (che non ha però nessun collegamento con la popolare pay tv).
Il malware, secondo gli esperti della compagnia, “ha fatto registrare vittime in Italia” e “comprende funzionalità mai trovate ‘in the wild’ in passato, come la registrazione di audio in base alla geolocalizzazione dei dispositivi infettati”. Lo spyware, si sottolinea, “viene distribuito attraverso pagine web che imitano i siti dei principali operatori di reti mobile”.
Skygofree, rimarcano gli esperti della compagnia, “è uno spyware sofisticato e multilivello che concede ai cyber criminali il pieno controllo remoto del dispositivo infettato. Dopo la creazione della prima versione alla fine del 2014, ha subito costanti aggiornamenti e ora include la possibilità di ‘origliare’ le conversazioni e i rumori dell’ambiente circostante quando il dispositivo entra in un luogo specifico – una funzionalità che non era mai stata trovata in the wild. Altre innovative funzionalità avanzate includono la possibilità di usare le impostazioni di accessibilità per rubare i messaggi WhatsApp e la capacità di collegare il dispositivo infettato alle reti wi-fi controllate dai cyber criminali”.
Il malware, prosegue l’analisi, “include diversi exploit per ottenere i permessi di root ed è in grado di catturare immagini e registrare video, ottenere l’elenco delle chiamate, sms, informazioni sulla geolocalizzazione, eventi nel calendario e dati aziendali archiviati nella memoria del dispositivo. Una funzionalità speciale consente di aggirare una funzionalità per il risparmio della batteria implementata da uno dei maggiori vendor: il malware si inserisce nell’elenco delle ‘app protette’ per non venire disattivato automaticamente quando lo schermo è spento”.
I cyber criminali, rimarca ancora il report, “sembrano interessati anche agli utenti Windows e i ricercatori hanno scoperto diversi moduli sviluppati recentemente che prendono di mira questa piattaforma” (e hanno identificato “48 comandi differenti che possono essere implementati dai criminali, offrendo la massima flessibilità d’uso”).
La maggior parte delle landing page nocive usate per diffondere il malware, si aggiunge, “sono state registrate nel 2015, quando, secondo la telemetria di Kaspersky Lab, la campagna di distribuzione è stata più attiva. La campagna nociva è ancora in atto e il dominio più recente è stato registrato a ottobre 2017. I dati indicano che attualmente sono state colpite diverse vittime, tutte in Italia”. Come mai?
Per Alexey Firsh, malware analyst della società di cyber security, “i malware mobile di alto profilo sono estremamente difficili da identificare e bloccare e gli sviluppatori di Skygofree hanno sfruttato questo fattore a proprio vantaggio, creando e sviluppando uno spyware in grado di spiare gli obiettivi senza destare sospetti. In base agli artefatti scoperti nel codice del malware e alla nostra analisi dell’infrastruttura”, ha aggiunto, “siamo piuttosto sicuri che il malware Skygofree sia stato sviluppato da un’azienda IT italiana che offre soluzioni di sorveglianza, come HackingTeam”.
(fonte: Cyber Affairs)