I malware per Android diventano sempre più numerosi e potenti, in grado di fare cose inimmaginabili fino a poco tempo addietro: l’ultima scoperta su questo versante si chiama Skygofree, un malware che risale al 2014 e che è stato riscritto integrando nuove e notevoli capacità.
“La maggior parte dei Trojan hanno in comune più o meno le stesse caratteristiche”, spiegano i ricercatori di Kaspersky; “dopo essersi insinuati nel dispositivi, possono appropriarsi delle informazioni di pagamento del proprietario, effettuare il mining di criptomonete al posto del cybercriminali oppure cifrano i dati e richiedono un riscatto. Tuttavia, alcuni Trojan posseggono capacità che ricordano film di spionaggio degni di Hollywood”.
Skygofree appartiene a questo genere: com’è facile immaginare, non ha nulla a che fare con il servizio Sky Go ma il nome del Trojan fa riferimento a uno dei domini utilizzati. Skygofree prevede funzionalità, alcune delle quali non sono facili da trovare altrove; ad esempio, spiegano ancora i ricercatori “può rintracciare l’ubicazione di un dispositivo su cui è installato e attivare la registrazione audio quando il proprietario del dispositivo si trova in un determinato luogo”. In pratica, ciò vuol dire che i cybercriminali possono ascoltare ciò che succede, ad esempio, quando la vittima si trova in ufficio o a casa del proprio capo.
Un’altra tecnica interessante impiegata da Skygofree è la connessione (senza che l’utente se ne accorga) dello smartphone o del tablet infetto a una rete Wi-Fi controllata dai cybercriminali, anche quando il proprietario ha disattivato le connessioni Wi-Fi sul dispositivo. In questo modo è possibile raccogliere e analizzare il traffico della vittima. In poche parole, possono sapere esattamente quali siti sono stati visitati dall’utente vittima, cosi come le sue credenziali di accesso, password e numeri di carte di credito.
Ma non è finita qui. Il malware possiede anche un paio di funzionalità che gli consentono di operare in modalità standby. Ad esempio, l’ultima versione di Android può fermare automaticamente i processi non attivi per risparmiare batteria; tuttavia, Skygofree è in grado di superare questo ostacolo inviando notifiche di sistema. Inoltre, su una delle marche più famose di smartphone dove le app preferite sono disponibili quando lo schermo è spento, Skygofree si aggiunge automaticamente alla lista delle app preferite.
Il malware può monitorare app note quali Facebook Messenger, Skype, Viber e Whatsapp. A proposito di quest’ultima, gli sviluppatori sono stati piuttosto abili: il Trojan legge i messaggi Whatsapp mediante i servizi di accessibilità (quelli normalmente usati da non vedenti e non udenti). L’uso dei servizi di accessibilità richiede l’autorizzazione dell’utente ma il malware nasconde questa autorizzazione all’interno di altre richieste apparentemente innocenti.
Utimo ma non meno importante, Skygofree può attivare segretamente la fotocamera frontale e scattare una foto dell’utente quando sblocca il dispositivo, immagini che i cybercriminali possono utilizzare nei modi più disparati.
“Pur essendo innovativo”, spiega ancora Kasperky, “in certi aspetti, possiede anche funzionalità classiche: ad esempio, può intercettare chiamate, SMS, annotazioni sul calendario e altri dati dell’utente”. Il malware si diffonde mediante siti falsi di compagnie telefoniche per dispositivi mobili: Skygofree si spaccia per un aggiornamento in grado di aumentare la velocità di Internet sul telefono. Se l’utente abbocca e scarica il Trojan, appare una notifica in cui si avvisa che la configurazione delle impostazioni è in corso, nel frattempo il Trojan si nasconde agli occhi dell’utente e richiede ulteriori istruzioni al command server. A seconda della risposta, si scaricano diversi palyload (i cybercriminali hanno una soluzione per ogni evenienza).
I consigli per gli utenti Android sono quelli consueti: installate app solo dagli store ufficiali (meglio disattivare l’opzione che consente di installare app da terze parti, basta entrare nelle impostazioni dello smartphone), Se avete dei dubbi, meglio non scaricare nulla. Prestate attenzione a errori di ortografia nei nomi delle app, se l’app ha un numero esiguo di download o se richiede autorizzazioni sospette). Infine è consigliabile una soluzione di sicurezza affidabile in grado di individuare app e file dannosi, siti Internet sospetti e link pericolosi.
