קספרסקי חושפת: Skygofree - סוס טרויאני לאנדרואיד וחלונות
עמי רוחקס דומבה
| 16/01/2018
יחצ קספרסקי
חוקרי מעבדת קספרסקי חשפו את אחד מהשתלים הזדוניים המתקדמים מאי פעם לטלפונים ניידים. התוכנה אשר פעילה מאז 2014 תוכננה כנראה לריגול סייבר ממוקד כמוצר "אבטחה התקפית". השתל, הנקרא Skygofree כולל יכולות שלא נראו בשטח בעבר, כגון הקלטת אודיו על פי מיקום המכשירים הנגועים. תוכנת הריגול מופצת באמצעות עמודי רשת המתחזים לאתרים של מפעילי סלולר מובילים.
Skygofree היא תוכנת ריגול מתוחכמת המעניקה לתוקפים שליטה מלאה על המכשיר הפגוע. היא עברה פיתוח מתמשך מאז הגרסה הראשונה שנוצרה בסוף 2014, וכעת היא כוללת יכולת לצותת לשיחות ולקולות בסביבה כאשר המכשיר הנגוע נכנס לאזור מסוים – מאפיין שלא נראה בעבר פעיל בשטח. התקדמות נוספת נעשתה באמצעות מאפיין בלתי נראה המשתמש ביכולות נגישות (Accessibility Services) כדי לגנוב הודעות WhatsApp, והיכולת לחבר את המכשיר הנגוע לרשתותWi-Fi הנשלטות על ידי התוקפים.
השתל נושא מספר כלי פריצה לגישת ליבה (root) והוא מסוגל גם לצלם תמונות ווידאו, לאסוף רשומות של שיחות, הודעות SMS, מיקום גיאוגרפי, אירועים בלוח השנה ומידע עסקי המאוחסן בזיכרון המכשיר. מאפיין מיוחד מאפשר לו לעקוף טכניקה לחסכון בסוללה שמפעיל ספק מכשירים מוביל: השתל מוסיף עצמו לרשימת "אפליקציות מוגנות" כך שהוא לא מכובה באופן אוטומטי כאשר נכבה המסך.
החוקרים מצאו 48 פקודות שונות שהתוקפים יכולים להפעיל, כדי לאפשר גמישות מרבית בשימוש. נראה שלתוקפים יש גם עניין במשתמשי Windows, והחוקרים מצאו מספר מודולים שפותחו לאחרונה הממוקדים בפלטפורמה זו. רוב דפי הנחיתה המזויפים ששימשו להפצת השתל נרשמו ב- 2015, כאשר על פי הטלמטריה של מעבדת קספרסקי קמפיין ההפצה היה בשיא פעילותו. הקמפיין נמשך כיום והדומיין האחרון נרשם באוקטובר 2017. הנתונים מראים כי היו מספר קורבנות לאחרונה, כולם באיטליה.
"קוד זדוני מתקדם לניידים הוא קשה מאוד לזיהוי ולחסימה, והמפתחים מאחורי Skygofree השתמשו בכך כדי להשיג את מטרתם: יצירה ופיתוח של שתל אשר יכול לרגל באופן נרחב אחר מטרות מבלי לעורר חשד. לאור הממצאים שחשפנו בקוד הזדוני וניתוח התשתית שביצענו, אנו משוכנעים למדי כי מאחורי Skygofree נמצאת חברת IT מאיטליה המציעה פתרונות ריגול בדומה ל- HackingTeam", אמר אלכסיי פירש, אנליסט קוד זדוני, מחקר התקפות ממוקדות, מעבדת קספרסקי.
כדי להישאר מוגנים מפני איומי זדוניים מתקדמים למובייל, מעבדת קספרסקי ממליצה להטמיע פתרון אבטחה אמין אשר יכול לזהות ולחסום איומים כאלה בנקודות קצה, כגון Kaspersky Security for Mobile. למשתמשים מומלץ גם לנקוט במשנה זהירות כאשר הם מקבלים הודעות דואר אלקטרוני מאנשים או ארגונים שהם אינם מכירים, ולא לפתוח בקשות או קבצים מצורפים יוצאי דופן. מומלץ תמיד לוודא את אמינות אתרי האינטרנט לפני שלוחצים על קישורים. למנהלי מערכות מומלץ להפעיל את יכולות השליטה באפליקציות שקיימות בפתרונות אבטחת המובייל שלהם, כדי לשלוט בתוכנות הפגיעות להתקפה שכזאת.
"מצאנו מספר רכיבים המרכיבים מערכת ריגול שלמה עבור פלטפורמת Windows", כותבים במחקר של קספרסקי. "יתר על כן, מצאנו מודול אחד בשם skype_sync2.exe כתוב ב.NET. המטרה העיקרית של מודול זה היא חילוץ מידע משיחות סקייפ. בדיוק כמו המודולים הקודמים, הוא מכיל מחרוזות מרובות באיטלקית".
למידע נוסף ראו - Securelist.com
יחצ קספרסקי
חוקרי מעבדת קספרסקי חשפו את אחד מהשתלים הזדוניים המתקדמים מאי פעם לטלפונים ניידים. התוכנה אשר פעילה מאז 2014 תוכננה כנראה לריגול סייבר ממוקד כמוצר "אבטחה התקפית". השתל, הנקרא Skygofree כולל יכולות שלא נראו בשטח בעבר, כגון הקלטת אודיו על פי מיקום המכשירים הנגועים. תוכנת הריגול מופצת באמצעות עמודי רשת המתחזים לאתרים של מפעילי סלולר מובילים.
Skygofree היא תוכנת ריגול מתוחכמת המעניקה לתוקפים שליטה מלאה על המכשיר הפגוע. היא עברה פיתוח מתמשך מאז הגרסה הראשונה שנוצרה בסוף 2014, וכעת היא כוללת יכולת לצותת לשיחות ולקולות בסביבה כאשר המכשיר הנגוע נכנס לאזור מסוים – מאפיין שלא נראה בעבר פעיל בשטח. התקדמות נוספת נעשתה באמצעות מאפיין בלתי נראה המשתמש ביכולות נגישות (Accessibility Services) כדי לגנוב הודעות WhatsApp, והיכולת לחבר את המכשיר הנגוע לרשתותWi-Fi הנשלטות על ידי התוקפים.
השתל נושא מספר כלי פריצה לגישת ליבה (root) והוא מסוגל גם לצלם תמונות ווידאו, לאסוף רשומות של שיחות, הודעות SMS, מיקום גיאוגרפי, אירועים בלוח השנה ומידע עסקי המאוחסן בזיכרון המכשיר. מאפיין מיוחד מאפשר לו לעקוף טכניקה לחסכון בסוללה שמפעיל ספק מכשירים מוביל: השתל מוסיף עצמו לרשימת "אפליקציות מוגנות" כך שהוא לא מכובה באופן אוטומטי כאשר נכבה המסך.
החוקרים מצאו 48 פקודות שונות שהתוקפים יכולים להפעיל, כדי לאפשר גמישות מרבית בשימוש. נראה שלתוקפים יש גם עניין במשתמשי Windows, והחוקרים מצאו מספר מודולים שפותחו לאחרונה הממוקדים בפלטפורמה זו. רוב דפי הנחיתה המזויפים ששימשו להפצת השתל נרשמו ב- 2015, כאשר על פי הטלמטריה של מעבדת קספרסקי קמפיין ההפצה היה בשיא פעילותו. הקמפיין נמשך כיום והדומיין האחרון נרשם באוקטובר 2017. הנתונים מראים כי היו מספר קורבנות לאחרונה, כולם באיטליה.
"קוד זדוני מתקדם לניידים הוא קשה מאוד לזיהוי ולחסימה, והמפתחים מאחורי Skygofree השתמשו בכך כדי להשיג את מטרתם: יצירה ופיתוח של שתל אשר יכול לרגל באופן נרחב אחר מטרות מבלי לעורר חשד. לאור הממצאים שחשפנו בקוד הזדוני וניתוח התשתית שביצענו, אנו משוכנעים למדי כי מאחורי Skygofree נמצאת חברת IT מאיטליה המציעה פתרונות ריגול בדומה ל- HackingTeam", אמר אלכסיי פירש, אנליסט קוד זדוני, מחקר התקפות ממוקדות, מעבדת קספרסקי.
כדי להישאר מוגנים מפני איומי זדוניים מתקדמים למובייל, מעבדת קספרסקי ממליצה להטמיע פתרון אבטחה אמין אשר יכול לזהות ולחסום איומים כאלה בנקודות קצה, כגון Kaspersky Security for Mobile. למשתמשים מומלץ גם לנקוט במשנה זהירות כאשר הם מקבלים הודעות דואר אלקטרוני מאנשים או ארגונים שהם אינם מכירים, ולא לפתוח בקשות או קבצים מצורפים יוצאי דופן. מומלץ תמיד לוודא את אמינות אתרי האינטרנט לפני שלוחצים על קישורים. למנהלי מערכות מומלץ להפעיל את יכולות השליטה באפליקציות שקיימות בפתרונות אבטחת המובייל שלהם, כדי לשלוט בתוכנות הפגיעות להתקפה שכזאת.
"מצאנו מספר רכיבים המרכיבים מערכת ריגול שלמה עבור פלטפורמת Windows", כותבים במחקר של קספרסקי. "יתר על כן, מצאנו מודול אחד בשם skype_sync2.exe כתוב ב.NET. המטרה העיקרית של מודול זה היא חילוץ מידע משיחות סקייפ. בדיוק כמו המודולים הקודמים, הוא מכיל מחרוזות מרובות באיטלקית".
למידע נוסף ראו - Securelist.com
