Nieuwe Android malware ingezet voor gerichte cyberspionage

Nieuwe geavanceerde mobiele malware is specifiek ontwikkeld om gericht cyberspionage uit te voeren. Het gaat om Skygofree, malware voor het Android platform die begin oktober 2017 werd ontdekt tijdens een routine-analyse van verdachte bestandsfeeds. Het bevat functionaliteit die nog niet eerder in de praktijk is aangetroffen, zoals op locatie gebaseerde geluidsopname via geïnfecteerde apparaten. De spyware wordt verspreid via webpagina's die sprekend lijken op die van toonaangevende mobiele netwerkoperators.

De malware is ontdekt door onderzoekers van Kaspersky Lab. Skygofree is geavanceerde multi-stage-spyware die aanvallers de volledige controle geeft over het geïnfecteerde device. De eerste versie van de malware verscheen eind 2014. Sindsdien is Skygofree door zijn makers voortdurend doorontwikkeld en biedt nu de mogelijkheid om conversaties en geluiden in de directe omgeving van het besmette apparaat af te luisteren zodra het een bepaalde locatie betreedt. Dit is een functie die nog niet eerder ‘in het wild’ is waargenomen. Andere geavanceerde en nog niet eerder vertoonde functies zijn onder meer het gebruik van Accessibility Services om WhatsApp-berichten te stelen en de mogelijkheid om een geïnfecteerd apparaat aan te sluiten op door de aanvallers beheerde wifi-netwerken.

Op de achtergrond actief

De malware bevat meerdere exploits voor roottoegang en is ook geschikt voor het maken van foto's en video’s en het ophalen van gespreksopnames, SMS, geolocatie, agendagegevens en zakelijke informatie uit het geheugen van het apparaat. Met een speciale functie kan de software ook de door een belangrijke hardwarefabrikant geïmplementeerde batterijbesparende techniek omzeilen: de malware voegt zichzelf toe aan de lijst met 'beschermde apps', zodat het niet automatisch wordt uitgeschakeld wanneer het scherm uit is. De aanvallers lijken daarnaast geïnteresseerd te zijn in Windows-gebruikers, aangezien onderzoekers een aantal recent ontwikkelde modules hebben gevonden die zich op dit platform richten.

De meeste voor verspreiding gebruikte internetpagina’s zijn geregistreerd in 2015, het jaar dat de distributiecampagne volgens de telemetrie van Kaspersky Lab het actiefst was. De campagne loopt nog steeds en het meest recente domein is geregistreerd in oktober 2017. Uit de gegevens blijkt dat er tot nu toe verschillende slachtoffers zijn geweest, allemaal in Italië.

Spioneren zonder argwaan te wekken

"High-end mobiele malware is erg moeilijk te herkennen en blokkeren”, zegt Jornt van der Wiel, securityanalist bij Kaspersky Lab. “Het is duidelijk dat de ontwikkelaars die achter Skygofree zitten hier volop van hebben geprofiteerd, door een malware te ontwikkelen die ingrijpend kan spioneren zonder argwaan te wekken. Gezien de artefacten die we in de malwarecode hebben ontdekt en onze analyse van de infrastructuur, hebben we het sterke vermoeden dat de ontwikkelaar achter Skygofree een Italiaans IT-bedrijf is dat bewakingsoplossingen biedt, en geen hackersgroep.” De onderzoekers hebben 48 verschillende commando’s gevonden die door aanvallers kunnen worden geïmplementeerd, wat zorgt voor maximale gebruiksflexibiliteit.

Om beschermd te blijven tegen geavanceerde mobiele malware, raadt Kaspersky Lab aan een beveiligingsoplossing te implementeren die dergelijke op endpoints gerichte dreigingen identificeert en blokkeert. Een voorbeeld hiervan is Kaspersky Security for Mobile. Gebruikers wordt verder geadviseerd om voorzichtig om te gaan met e-mails van onbekende individuen of organisaties en onverwachte verzoeken of bijlagen. Ook is het raadzaam om, voordat er op een link wordt geklikt, altijd de integriteit en de oorsprong van een website goed te controleren. Neem bij twijfel contact op met de serviceprovider om dit na te gaan. Systeembeheerders wordt op hun beurt geadviseerd om de Application Control-functionaliteit van hun mobiele beveiligingsoplossingen in te schakelen om de controle over mogelijk schadelijke programma’s te behouden.

Kaspersky Lab detecteert de Skygofree versies voor Android als HEUR:Trojan.AndroidOS.Skygofree.a en HEUR:Trojan.AndroidOS.Skygofree.b. de Windows versie wordt gedetecteerd als UDS:DangerousObject.Multi.Generic. Meer informatie, waaronder een lijst met commando’s, risico-indicatoren en domeinadressen van Skygofree, alsmede de apparaattypes waarop de exploitmodules van de malware zich richten, zijn te vinden op Securelist.com.