Skygofree : le malware mobile Android qui espionne presque tout sur le smartphone ! (non « Rigoletto »)

Rien de bien divertissant, en effet, que la découverte de ce malware par l’équipe de Kaspersky ; un programme malicieux qui, une fois ancré au cœur des systèmes Android, peu apparemment presque tout intercepter avec, à la clé, diverses techniques d’exploitation de cette faille, selon les finalités souhaitées par la ou les personnes malveillantes qui seraient, toujours selon le rapport de l’éditeur sécuritaire, d’origine Italienne.

 

« L’implant offre la possibilité d’intercepter un grand nombre de données exfiltrées, telles que des enregistrements d’appels, des messages texte, la géolocalisation, l’audio environnant, les événements de calendrier et d’autres informations de mémoire stockées sur le périphérique« , explique ainsi Kaspersky via un billet du 16 janvier depuis SecureList.com qui recense 48 commandes dédiées à Skygofree à l’heure d’aujourd’hui. Côté installation, tout commence depuis une notification banale sur le smartphone souhaitant la bienvenue à la future-victime cachant, en réalité, des applications d’arrière-plan (non visibles, donc) avec une icônes, elle aussi, du coup, masquées par défaut pour mieux tromper la vigilance de l’utilisateur. Le malware va même jusqu’à feindre une fausse mise à jour (toujours avec notification) pour tromper le système-même pour éviter les cas éventuels d’éjection s’il était détecté (idle).

Si la finalité est bien l’espionnage multimédia (son, image, texte…), les variantes sont assez vastes puisqu’au nombre de 48, telles qu’entres-autres, la connexion ou l’orientation volontaire d’un réseau Wi-Fi (attaque Man-in-the-Middle) vers un autre pour mieux capter les données de l’utilisateur si à proximité du point de connexion, le piratage du module caméra (en façade : prise de vue et vidéo) avec un ciblage particulier pour les terminaux mobiles Huawei, transfert SMS / conversations / infos système voire l’activation de l’audio (enregistrement) selon un endroit géolocalisé spécifique.

Un exemple de message frauduleux (campagne phishing),
invitant à corriger une « malfonction » liée à la connexion Internet.

L’ensemble est contrôlable à distance « via HTTP, XMPP, SMS binaires et FirebaseCloud Messaging (ou GoogleCloud Messaging pour les anciennes versions)« . Différentes techniques aidant, le malware peut parvenir à une élévation de privilège, l’interception de données sensibles (notamment sur les réseaux sociaux WhatsApp, Facebook, Facebook Messenger, LINE et Viber)… L’implantation de Skygofree (dont ses applications « multi-stage » peuvent, pour certaines, être indépendantes) peut se faire via des campagnes de phishing (l’action-utilisateur est alors nécessaire : en clair, attention aux mauvais clics, regardez l’url frauduleuse en veillant à vérifier s’il s’agit bien du site original concerné !), avec de « vrais-faux » sites, donc, pour ne pas citer des url trompeuses (message invitant à télécharger – lien à ne pas cliquer donc – prétextant une connexion Internet défaillance) empruntant les traits de Vodafone, windows update ou encore lapostemobile.

Des traits semblent-ils apparentés à une ou plusieurs personnes d’origine Italienne, selon Kaspersky : en effet, d’après le code mis en œuvre, les commentaires contiendraient des notes écrites en Italien… Un code qui puise, d’ailleurs, ses sources depuis le Keylogger « El3ct71k » disponible sur github en notant que les implants pour Windows ont été, également, introduits sous Python (Py2exe) ; brièvement évoqué, il aurait été trouvé des « similitudes » avec Prism.

« Nous sommes convaincus que le développeur des implants Skygofree est une société informatique Italienne qui travaille sur des solutions de surveillance, tout comme HackingTeam« , affirme sans détour l’éditeur sécuritaire qui serait remonté à une date minimum de création de Skygofree arrêtée à 2014 avec des enregistrements de domaines (utilisés pour le phishing via sites miroirs) remontant à 2015 (le 31 Octobre 2017 étant la date « la plus récente observée »).

Il est vivement recommandé de télécharger les applications depuis les stores officiels avec des éditeurs de confiance (coche certifiée), en excluant tout doute (nombre de téléchargement, demande de permissions trop vastes…)… A veiller !

 

Source : Securelist.com (Kaspersky) – 16 Janvier 2018 – Skygofree (Android).