«Лаборатория Касперского» опубликовала результаты анализа новой шпионской Android-программы, обладающей функциями, с которыми эксперты еще не сталкивались.
Так, зловред, детектируемый продуктами ИБ-компании как Trojan-Spy.AndroidOS.Skygofree, умеет вести аудиозапись в заданных местах, получать сообщения из Whatsapp с помощью сервиса Accessibility, подключать зараженное устройство к контролируемой злоумышленниками WiFi-сети.
Заинтересовавший экспертов Android-шпион был обнаружен в начале октября. В ходе расследования были выявлены другие образцы Skygofree; самый ранний из них датируется концом 2014 года. Как оказалось, все это время троян непрерывно совершенствовался, обретая новые функции, и в итоге из «примитивного необфусцированного зловреда» превратился в «сложного многоступенчатого шпиона, который дает злоумышленнику полный удаленный контроль над зараженным устройством».
При запуске Skygofree показывает поддельное приветствие, предлагая подождать «обновления конфигурации», а сам в это время удаляет свою иконку из списка установленных приложений и запускает в фоновом режиме ряд сервисов. С их помощью зловред регистрируется на C&C-сервере и общается с ним, отслеживает местоположение мобильного устройства, осуществляет GSM-трекинг, ворует содержимое буфера обмена, ведет аудиозапись и отправляет краденые данные на C&C-сервер.
Чтобы избежать принудительного завершения (по словам исследователей, на Android 8.0 и новее это возможно, если сервис простаивает), почти все вредоносные службы пускают в ход средство самозащиты: генерируют фальшивое уведомление об обновлении. Некоторые версии Skygofree, ориентированные на смартфоны производства Huawei, для сохранения работоспособности добавляют себя в список приложений, которым разрешено работать при выключенном экране, — Huawei практикует такие списки в целях экономии ресурса батарей.
Управление Skygofree производится с использованием нескольких протоколов: HTTP, XMPP, бинарных SMS и FirebaseCloudMessaging (в ранних версиях — GoogleCloudMessaging). Новейшие образцы зловреда способны выполнять 48 различных команд и собирают множество сохраненной на устройстве конфиденциальной информации: записи звонков, SMS, фото и видео, события в календаре, связанные с бизнесом данные.
В своей блог-записи Никита Бучка и Алексей Фирш рассматривают несколько полезных нагрузок Skygofree, загружаемых на втором и третьем этапах заражения. Так, модуль Reverse shell, как следует из названия, предоставляет функции обратной оболочки на устройстве в зависимости от архитектуры используемого процессора.
Файл с эксплойтом позволяет получить права суперпользователя на зараженном устройстве. Исследователи идентифицировали несколько уязвимостей, используемых Skygofree с этой целью:
CVE-2013-2094
CVE-2013-2595
CVE-2013-6282
CVE-2014-3153 (Towelroot)
CVE-2015-3636
Еще один модуль — общедоступное ПО Busybox — использовался в ранних версиях зловреда для исполнения шелл-команд.
Кража данных из легитимных приложений осуществляется двумя способами: с помощью шелл-команд (также в ранних версиях Skygofree; соответствующий код был скомпилирован с полезной нагрузкой эксплойта) и по C&C-команде social, запускающей сервис AndroidMDMSupport (в текущих версиях). Эта полезная нагрузка, по данным «Лаборатории Касперского», позволяет атаковать следующие приложения:
LINE: Free Calls & Messages
Facebook Messenger
Facebook
WhatsApp
Viber
Исследователи также наблюдали случай, когда Skygofree воровал информацию из WhatsApp, используя сервис Accessibility. Для этого он по команде скачал файл parser.apk (или .dex) — полезную нагрузку, которая после запуска целевого приложения анализирует отображенные на экране элементы, отыскивая текстовые сообщения. По словам экспертов, для использования API-интерфейса Accessibility нужно особое разрешение, однако зловред получает его обманом — отображает пользователю запрос с «фишинговым текстом».
В ходе расследования была также обнаружена Windows-версия Skygofree, компоненты которой позволяют добывать конфиденциальные данные и вести аудиозапись на этой платформе. Windows-версия способна отслеживать нажатия клавиш, делать снимки экрана, записывать звонки Skype в MP3. Коммуникации с C&C осуществляет основной компонент — Reverse shell.
«Все модули, за исключением skype_sync2.exe, написаны на Python и были собраны в исполняемые файлы с помощью инструмента Py2exe, — пишут Фирш и Бучка. — Такое преобразование позволяет запускать код Python в среде Windows без предустановленного дистрибутива Python». Код Windows-шпиона, как и его мобильных собратьев, содержит строки на итальянском языке.
Все найденные образцы Skygofree для Windows были скомпилированы в начале прошлого года и, по мнению экспертов, вряд ли успели поучаствовать в реальных атаках.
По данным телеметрии «Лаборатории Касперского», пик активности Skygofree-кампаний пришелся на 2015 год. На сайтах, зарегистрированных злоумышленниками в этот период, эксперты обнаружили множество лендинг-страниц, имитирующих ресурсы операторов сотовой связи (Vodafone, Tre.it). По свидетельству авторов отчета, многие домены, используемые для распространения Skygofree, уже устарели, но образцы, размещенные на сервере итальянского хостера SEEWEB, все еще доступны.
Регистрация вредоносных доменов продолжается и поныне: новейший из них появился 31 октября. На настоящий момент выявлено несколько жертв Skygofree, проживающих в Италии.