більшість троянів схожі один на одного: пробравшись на пристрої, вони крадуть платіжні дані його власника, добувають для зловмисників криптовалюта або шифрують дані, щоб вимагати викуп. Але іноді зустрічаються екземпляри, чиї можливості змушують згадати голлівудські фільми про шпигунів.
Одним з таких кінематографічних троянів виявився недавно виявлений нами Android-зловредів Skygofree (До речі, троян не має відношення до сервісу Sky Go: зловреда назвали так по поєднанню букв в одному з використаних ним доменів). У нього повно різних функцій, в тому числі є і унікальні, які ми більше ніде не зустрічали. Наприклад, він вміє відстежувати місце розташування пристрою і включати запис звуку, коли власник виявляється поблизу певних координат. На практиці це означає, що зловмисники можуть почати прослуховувати оточення жертви, скажімо, коли вона входить в офіс або в гості до знайомого фінансовому директору.
Ще один цікавий прийом, який освоїв Skygofree, - нишком підключати заражений смартфон або планшет до Wi-Fi-мереж , Що знаходяться під повним контролем зловмисників. Навіть якщо власник пристрою взагалі відключив Wi-Fi на пристрої. Це дозволяє збирати й аналізувати трафік жертви. Іншими словами, хтось буде точно знати, на які сайти заходила жертва і які логіни, паролі та номери карт вводила.
Є у зловреда і пара функцій, що полегшує йому роботу в режимі очікування. Так, новітня версія Android може автоматично зупиняти неактивні процеси для економії заряду батареї, але Skygofree обходить це, періодично відправляючи системі повідомлення. А на смартфонах одного з найбільших виробників, які при виключенні екрану зупиняють роботу всіх додатків, крім обраних, Skygofree сам додає себе в список цих самих обраних.
Також зловредів вміє стежити за роботою популярних додатків на зразок Facebook Messenger, Skype, Viber, WhatsApp. Причому в останньому випадку розробники знову проявили кмітливість - троян читає переписку в WhatsApp через «Спеціальні можливості» (Accessibility Services). Ми вже розповідали , Як цей інструмент для користувачів зі слабким зором або слухом зловмисники можуть використовувати, щоб контролювати заражене пристрій. Це своєрідний «цифровий очей», який зчитує те, що виводиться на екран, - в разі Skygofree він збирає текстові повідомлення з WhatsApp. Використовувати Accessibility Services можна тільки з дозволу користувача, але зловредів ховає запит на це дозвіл за яким-небудь іншим, зовні нешкідливим запитом.
Нарешті, Skygofree може таємно включити фронтальну камеру і зробити знімок, коли користувач розблокує пристрій, і можна тільки гадати, як злочинці будуть використовувати ці фото.
Втім, банальними функціями автори інноваційного трояна теж не погребували: перехоплювати дзвінки, смс, записи календаря та інші дані користувача Skygofree теж вміє.
Виявили Skygofree недавно, в кінці 2017 року, проте, якщо судити за результатами аналізу, зловмисники використовують його ще з 2014-го і постійно вдосконалюють. За три роки з простенького зловреда він виріс до багатофункціонального шпигунського інструменту.
Зловредів поширюється через Інтернет, використовуючи підроблені сайти стільникових операторів. На них зловмисники пропонують встановити Skygofree під виглядом поновлення, яке підвищить швидкість мобільного доступу до Інтернету. Якщо відвідувач потрапляє на вудку і викачує собі заразу, троян показує повідомлення про нібито почалася налаштуванні, ховається від користувача і запитує з командного сервера подальші інструкції. Залежно від відповіді він може завантажувати найрізноманітнішу корисне навантаження - зловмисники передбачили рішення практично на всі випадки життя.
Попереджений значить озброєний
Поки що наша хмарна служба безпеки зафіксувала всього кілька заражень, причому всі - в Італії. Однак це не означає, що російським користувачам можна розслабитися: злочинці можуть в будь-який момент змінити цільову аудиторію зловреда. Хороша новина в тому, що захиститися від самого просунутого трояна можна так само, як від будь-якої іншої зарази:
- Встановлюйте програми лише з офіційних магазинів. І краще взагалі забороните в налаштуваннях смартфона установку додатків зі сторонніх джерел.
- Сумніваєтеся - не качайте. Звертайте увагу на помилки в назві додатків, мале число скачувань і запит підозрілих дозволів.
- Встановіть надійне захисне рішення, наприклад Kaspersky Internet Security для Android . Це захистить ваш апарат від більшості шкідливих додатків і файлів, підозрілих веб-сайтів і небезпечних посилань. Перевірку в безкоштовній версії треба запускати вручну, а в платній вона запускається автоматично.
- Бізнес-користувачам ми рекомендуємо захищати телефони та планшети, які співробітники використовують на роботі, за допомогою Kaspersky Security for Mobile, одного з компонентів Kaspersky Endpoint Security для бізнесу.