Análisis de malware

El potente software espía Skygofree ya se informó y analizó en

enero 19, por Admin

El software espía Skygofree analizado hoy por Kaspersky fue descubierto por primera vez por el investigador Lukas Stefanko y el primer análisis fue publicado el año pasado por los expertos de CSE Cybsec ZLab.

El software espía Skygofree

Hace unos días, los investigadores de malware de Kaspersky Lab revelaron el descubrimiento de una nueva cepa de malware móvil; Se trata de un potente software espía para Android denominado Skygofree.

Skygofree es un software espía de Android que podría usarse para obtener control total de los dispositivos infectados de forma remota; las características que implementa hacen que esta amenaza sea muy útil en ataques dirigidos.

El análisis realizado por Kaspersky reveló que Skygofree fue utilizado contra muchos usuarios durante los últimos cuatro años, la mayoría de ellos en Italia.

Es importante aclarar que el nombre Skygofree no está vinculado a Sky Go, que es la subsidiaria de Sky y no afecta sus servicios.

El malware ha estado disponible al menos desde y se ha mejorado varias veces a lo largo de los años.

«A principios de octubre de, descubrimos un nuevo software espía para Android con varias características nunca antes vistas. En el curso de investigaciones adicionales, encontramos una serie de muestras relacionadas que apuntan a un proceso de desarrollo a largo plazo. Creemos que la inicial Las versiones de este malware se crearon hace al menos tres años, a finales de», se lee en el análisis publicado por Kaspersky.

«Desde entonces, la funcionalidad del implante ha ido mejorando y se han implementado nuevas características notables, como la capacidad de grabar audio del entorno a través del micrófono cuando un dispositivo infectado está en una ubicación específica; el robo de mensajes de WhatsApp a través de Servicios de Accesibilidad; y la capacidad de conectar un dispositivo infectado a redes Wi-Fi controladas por ciberdelincuentes.»

¿Es esta la primera vez que los investigadores de malware descubren esta amenaza?

La respuesta es negativa: el malware fue observado por primera vez por el investigador de seguridad de ESET, Lukas Stefanko, y los expertos del CSE Cybsec ZLab publicaron un primer análisis detallado del software espía Skygofree.

Los investigadores de ZLab publicaron en noviembre un informe titulado » Informe de análisis de malware: Fake 3MobileUpdater «. Después de obtener una muestra del malware, inmediatamente se supo que el código malicioso había sido desarrollado con fines de vigilancia por una empresa italiana, que probablemente operaba para hacer cumplir la ley.

Según Kaspersky, Skygofree se distribuye a través de páginas web falsas que imitan a los principales operadores de redes móviles. El análisis de los dominios utilizados en el ataque reveló que estaban registrados desde.

El dominio observado más recientemente se registró el 31 de octubre de; según los datos de telemetría de Kaspersky, el código malicioso se utilizó contra varias personas y las víctimas se encontraban exclusivamente en Italia.

El equipo de investigadores de CSE CybSec ZLab analizó en noviembre un falso 3 Mobile Updater que se hacía pasar por una aplicación legítima de la empresa italiana de telecomunicaciones TRE Italia.

«El método más clásico y eficiente utilizado para atraer a los usuarios es creer que la aplicación hace algo bueno. Esto es exactamente lo que hace 3 Mobile Updater. De hecho, esta aplicación maliciosa de Android parece una aplicación legítima utilizada para recuperar actualizaciones del sistema móvil. y utiliza indebidamente el logotipo de la famosa empresa italiana de telecomunicaciones, TRE Italia, para engañar a las víctimas y hacer que confíen en ella», se lee en el informe publicado por CSE CybSec.

1 – 3 Actualizador Móvil analizado por CSECybsec en

El análisis realizado por Kaspersky sugiere la implicación de una empresa italiana debido a la presencia en el código de cadenas en italiano.

«Como se puede ver en la comparación, hay cadenas similares y también un comentario único en italiano, por lo que parece que los atacantes crearon esta carga útil de exploit basándose en el código fuente del proyecto android-rooting-tools», afirma Kaspersky .

Los investigadores de CSE CybSec compartieron la misma conclusión, debajo de una parte del código analizado por los miembros del ZLab.

«Además, tanto en los mensajes de logcat como en el código, los creadores de malware utilizaron el idioma italiano. Por lo tanto, podemos decir con gran confianza que esta aplicación maliciosa ha sido escrita por una empresa italiana que pretendía apuntar a los usuarios de la empresa de telecomunicaciones italiana. Tre», escribió el CSE en el análisis.

Los artefactos analizados por Kaspersky en el código de malware y la información recopilada sobre la infraestructura de control sugieren que el desarrollador del malware Skygofree es una empresa italiana de TI que trabaja para soluciones de vigilancia.

Kaspersky Lab no ha confirmado el nombre de la empresa italiana detrás de este software espía, nosotros en el CSE CybSec ZLab optamos por la misma decisión en octubre debido a la posible implicación de agencias policiales o de inteligencia.

Lamentablemente, el OPsec implementado por la empresa es muy deficiente. El nombre de la empresa está presente en múltiples referencias al código y los dominios utilizados como servidores CC fueron registrados por la empresa de tecnología italiana.

«Aunque la empresa de seguridad no ha confirmado el nombre de la empresa italiana detrás de este software espía, encontró múltiples referencias a la empresa de tecnología con sede en Roma ‘Negg’ en el código del software espía. Negg también está especializado en desarrollar y comercializar herramientas de piratería legal», afirma la publicación del blog publicada por THN.

Una vez instalado, Skygofree oculta su ícono e inicia servicios en segundo plano para ocultar sus acciones maliciosas a la víctima; una característica interesante implementada por el código malicioso evita que sus servicios sean eliminados.

«Curiosamente, se implementó una función de autoprotección en casi todos los servicios. Dado que en Android 8.0 (SDK API 26) el sistema es capaz de eliminar los servicios inactivos, este código genera una notificación de actualización falsa para evitarlo», continúa Kaspersky .

Kaspersky publicó un interesante análisis del software espía Skygofree; según la firma, el código malicioso fue mejorado desde octubre implementando un sofisticado ataque de múltiples etapas y utilizando una carga útil de shell inverso.

El código malicioso incluye múltiples exploits para aumentar los privilegios de acceso raíz utilizados por los atacantes para ejecutar cargas útiles sofisticadas, incluido un código shell utilizado para espiar aplicaciones populares como Facebook, WhatsApp, Line y Viber.

Las mismas capacidades de espionaje se implementaron en la aplicación analizada en el CSE CybSec.

«Las capacidades de esta aplicación maliciosa son enormes e incluyen la recopilación de información de diversas fuentes, incluidas
las aplicaciones sociales más populares, como Whatsapp, Telegram, Skype, Instagram, Snapchat. Es capaz de robar una imagen de la galería, SMS y llamadas. aplicaciones de registro. Todos estos datos se almacenan primero en una base de datos local, creada por la aplicación maliciosa, y luego se envían al C2C», se lee en el análisis preliminar publicado en SecurityAffairs.

«Existen capacidades múltiples y excepcionales: uso de múltiples exploits para obtener privilegios de root, una estructura de carga compleja y características de vigilancia nunca antes vistas», dijeron los investigadores.

Skygofree implementa las principales funciones de vigilancia; Puede tomar fotografías y vídeos de forma remota, monitorear SMS, registros de llamadas y eventos del calendario; por supuesto, también puede recopilar la ubicación del objetivo y acceder a cualquier información almacenada en el móvil.

Skygofree también puede grabar audio a través del micrófono, una característica interesante implementada por el software espía que permite al atacante forzar al dispositivo de la víctima a conectarse a redes Wi-Fi comprometidas que controla para realizar ataques de intermediario.

Kaspersky también encontró una variante de Skygofree dirigida a usuarios de Windows, una circunstancia que sugiere que la firma italiana también está apuntando a máquinas que ejecutan el sistema operativo Windows.

La mejor manera de evitar ser víctima es evitar descargar aplicaciones a través de sitios web de terceros, tiendas de aplicaciones o enlaces proporcionados en mensajes SMS o correos electrónicos.

El periodista Thomas-Fox de la revista Forbes escribió un interesante artículo sobre Skygofree unas horas después de la publicación del informe de Kaspersky. Thomas buscó versiones archivadas del sitio web utilizado por la empresa italiana Negg y descubrió que la empresa estaba buscando ingenieros de software con experiencia en el desarrollo de Android e iOS.

Se solicitó a los candidatos el «conocimiento de las técnicas de análisis dinámico y estático de malware».

«Esto concuerda con la investigación de Kaspersky, que encontró sólo unas pocas infecciones, todas ellas dentro de Italia. El proveedor ruso de antivirus concluyó que el software, al que denominó Skygofree, era uno de los más potentes que se han visto dirigidos a los sistemas operativos Android», escribió Thomas-Fox . .

«La herramienta de vigilancia se entregaba a través de un puñado de sitios web, incluidas páginas falsas de actualización de redes de diferentes gigantes de las telecomunicaciones, incluidos Three y Vodafone, todos registrados en».

Le pedí a mi colega, el Dr. Antonio Pirozzi, director del CSE CybSec ZLab, que comparara los fragmentos de código compartidos por Kaspersky con los relacionados con el código que analizamos en noviembre.

Esto es lo que surge de la comparación.

Además, los DNS utilizados son los mismos;

El análisis publicado por Kaspersky incluyó indicadores de compromiso, incluida la URL del CC (url[.] plus) que era la misma del software espía analizado por CSE CybSec.

«Definitivamente tenemos muchas evidencias dentro de la herramienta de espionaje que vinculan la amenaza con la empresa italiana. El nombre de la empresa italiana está en todas partes del código, y los registros whois de CC están registrados por la misma empresa. Esto me permite pensar que alguien estaba protegiendo a estos hackers. Estamos descubriendo un jarrón Pandora», añadió el Dr. Antonio Pirozzi.

Conclusión

Muchas partes del código son idénticas; Ambos códigos fuente incluyen cadenas en italiano y la referencia a la firma italiana es la misma. La versión analizada por Kaspersky es una nueva versión del malware analizado por primera vez por CSE CybSec ZLab.

Kaspersky también compartió la URL desde la que se descarga el software espía, y una de ellas estaba relacionada con la versión que analizamos (Fake 3 mobile updater).

Las dos versiones del malware compartían numerosas clases, servidor CC, registros Whois y mucha otra información. La muestra analizada por el CSE probablemente aún estaba en desarrollo.

El descubrimiento de la herramienta y la simplicidad de atribuirla a un actor específico es desconcertante y plantea serias dudas sobre la forma en que se debe llevar a cabo la actividad de vigilancia. Para una agencia de inteligencia no fue complicado identificar la actividad de vigilancia realizada utilizando software como Skygofree e interferir de diversas formas con la operación.

Referencias

http://securityaffairs.co/wordpress/67815/malware/skygofree-surveillance-software.html

http://securityaffairs.co/wordpress/66316/cyber-crime/italian-android-malware.html

http://csecybsec.com/download/zlab/1CSE_3mobileUpdater_Report.pdf

https://securelist.com/skygofree-siguiendo-in-the-footsteps-of-hackingteam/83603/

https://thehackernews.com//01/android-spying-malware.html

https://www.forbes.com/sites/thomasbrewster//01/16/android-spyware-found-by-kaspersky-negg-italyl/#3c4000f21197

https://web.archive.org/web/0710005340/https://www.negg.international/