Большинство троянов похожи друг на друга: пробравшись на устройства, они воруют платежные данные его владельца, добывают для злоумышленников криптовалюту или шифруют данные, чтобы потребовать выкуп. Но иногда встречаются экземпляры, чьи возможности заставляют вспомнить голливудские фильмы про шпионов.
Одним из таких кинематографичных троянов оказался недавно обнаруженный нами Android-зловред Skygofree (кстати, троян не имеет отношения к сервису Sky Go: зловреда назвали так по сочетанию букв в одном из использованных им доменов). У него полно разных функций, в том числе есть и уникальные, которые мы больше нигде не встречали. Например, он умеет отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи определенных координат. На практике это значит, что злоумышленники могут начать прослушивать окружение жертвы, скажем, когда она входит в офис или в гости к знакомому финансовому директору.
Еще один интересный прием, который освоил Skygofree, — втихую подключать зараженный смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве. Это позволяет собирать и анализировать трафик жертвы. Иными словами, кто-то будет точно знать, на какие сайты заходила жертва и какие логины, пароли и номера карт вводила.
Есть у зловреда и пара функций, облегчающая ему работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления. А на смартфонах одного из крупнейших производителей, которые при выключении экрана останавливают работу всех приложений, кроме избранных, Skygofree сам добавляет себя в список этих самых избранных.
Также зловред умеет следить за работой популярных приложений вроде Facebook Messenger, Skype, Viber, WhatsApp. Причем в последнем случае разработчики вновь проявили смекалку — троян читает переписку в WhatsApp через «Специальные возможности» (Accessibility Services). Мы уже рассказывали, как этот инструмент для пользователей со слабым зрением или слухом злоумышленники могут использовать, чтобы контролировать зараженное устройство. Это своеобразный «цифровой глаз», который считывает то, что выводится на экран,— в случае Skygofree он собирает текстовые сообщения из WhatsApp. Использовать Accessibility Services можно только с разрешения пользователя, но зловред прячет запрос на это разрешение за каким-нибудь другим, внешне безобидным запросом.
Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство, и можно только гадать, как преступники будут использовать эти фото.
Впрочем, банальными функциями авторы инновационного трояна тоже не побрезговали: перехватывать звонки, смс, записи календаря и прочие данные пользователя Skygofree тоже умеет.
Персональный шпион вместо быстрого Интернета
Обнаружили Skygofree недавно, в конце 2017 года, однако, если судить по результатам анализа, злоумышленники используют его еще с 2014-го и постоянно совершенствуют. За три года из простенького зловреда он вырос до многофункционального шпионского инструмента.
Зловред распространяется через Интернет, используя поддельные сайты сотовых операторов. На них злоумышленники предлагают установить Skygofree под видом обновления, которое повысит скорость мобильного доступа к Интернету. Если посетитель попадается на удочку и скачивает себе заразу, троян показывает уведомление о якобы начавшейся настройке, прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от ответа он может скачивать самую разную полезную нагрузку — злоумышленники предусмотрели решения практически на все случаи жизни.
Предупрежден — значит вооружен
Пока что наша облачная служба безопасности зафиксировала всего несколько заражений, причем все — в Италии. Однако это не значит, что российским пользователям можно расслабиться: преступники могут в любой момент сменить целевую аудиторию зловреда. Хорошая новость в том, что защититься от самого продвинутого трояна можно так же, как от любой другой заразы:
- Устанавливайте приложения только из официальных магазинов. И лучше вообще запретите в настройках смартфона установку приложений из сторонних источников.
- Сомневаетесь — не качайте. Обращайте внимание на ошибки в названии приложений, малое число скачиваний и запрос подозрительных разрешений.
- Установите надежное защитное решение, например Kaspersky Internet Security для Android. Это защитит ваш аппарат от большинства зловредных приложений и файлов, подозрительных веб-сайтов и опасных ссылок. Проверку в бесплатной версии надо запускать вручную, а в платной она запускается автоматически.
- Бизнес-пользователям мы рекомендуем защищать телефоны и планшеты, которые сотрудники используют на работе, при помощи Kaspersky Security for Mobile, одного из компонентов Kaspersky Endpoint Security для бизнеса.