FlagDomingo, 18 Febrero 2018

 

 

kaspersky

 

Los investigadores de Kaspersky Lab han descubierto un avanzado implante móvil malicioso jamás visto, activo desde 2014 y diseñado para una cibervigilancia específica, posiblemente como producto de ‘seguridad ofensiva’. El implante, denominado Skygofree, incluye una funcionalidad nunca antes vista en circulación, como es la de grabar audio con base a la ubicación a través de dispositivos infectados. Este spyware se propaga por medio de páginas web que imitan a los principales operadores de redes móviles.

Skygofree es un avanzado spyware multi-nivel que les otorga a los atacantes completo control del dispositivo infectado de manera remota. Ha experimentado un desarrollo continuo desde que se creó la primera versión a finales de 2014 y ahora incluye la capacidad de espiar las conversaciones y el ruido a su alrededor cuando un dispositivo infectado ingresa a una ubicación específica, una característica que no se había visto anteriormente en circulación. Otras características avanzadas y nunca vistas incluyen el uso de los servicios de accesibilidad para robar mensajes de WhatsApp, así como la posibilidad de conectar un dispositivo infectado a las redes Wi-Fi controladas por los atacantes.

El implante lleva varios exploits para otorgar acceso raíz y también es capaz de tomar fotos y vídeos, capturar registros de llamadas, SMS, geolocalización, eventos del calendario e información relacionada con negocios y almacenada en la memoria del dispositivo. Tiene una característica especial que le permite eludir una técnica de ahorro de batería implementada por uno de los principales proveedores de dispositivos: el implante se agrega a la lista de “aplicaciones protegidas” de manera que no se apague automáticamente cuando la pantalla esté apagada.

Los atacantes también parecen estar interesados en los usuarios de Windows, puesto que los investigadores encontraron una serie de módulos desarrollados recientemente que van dirigidos a esta plataforma.

La mayoría de las páginas de aterrizaje falsas usadas para propagar el implante se registraron en 2015, cuando, de acuerdo con la telemetría de Kaspersky Lab, la campaña de distribución estaba en su punto más activo. La campaña aún está en curso y el dominio más reciente fue registrado en octubre de 2017. Los datos muestran que hasta la fecha hay varias víctimas, todas en Italia.

"El malware móvil de alta gama es muy difícil de identificar y bloquear, y los programadores que están detrás de Skygofree claramente han usado esto como ventaja, es por eso que han creado y desarrollado un implante que puede espiar ampliamente sus objetivos sin despertar sospechas. Teniendo en cuenta los artefactos que descubrimos en el código del malware y nuestro análisis de la infraestructura, tenemos certeza de que el programador que está detrás de los implantes Skygofree es una empresa de TI italiana, que ofrece soluciones de vigilancia, como HackingTeam", dijo Alexey Firsh, analista de malware e investigación de ataques dirigidos en Kaspersky Lab.

Los investigadores encontraron 48 mandos u órdenes diferentes que pueden ser implementados por los atacantes, lo que permite la máxima flexibilidad de uso.

Para mantenerse protegido contra las amenazas avanzadas de malware móvil, Kaspersky Lab recomienda implementar una solución de seguridad confiable que pueda identificar y bloquear dichas amenazas en los dispositivos, como Kaspersky Security for Mobile. Además, se recomienda a los usuarios que tengan cuidado cuando reciban correos electrónicos de personas u organizaciones que no conocen, o con solicitudes o archivos adjuntos que no esperan, y que siempre verifiquen la integridad y el origen de los sitios web antes de hacer clic en los enlaces. En caso de tener una duda, llamen al proveedor del servicio para verificar. A su vez, se les recomienda a los administradores del sistema activar la funcionalidad de control de aplicaciones en sus soluciones de seguridad móvil para controlar programas potencialmente dañinos y vulnerables a este ataque.

Kaspersky Lab detecta las versiones de Skygofree para Android como HEUR:Trojan.AndroidOS.Skygofree.a y HEUR:Trojan.AndroidOS.Skygofree.b, y las muestras de Windows como UDS:DangerousObject.Multi.Generic.

Cabe señalar que el spyware fue nombrado Skygofree porque la palabra fue usada en uno de los dominios. El malware no tiene conexión con Sky, Sky Go o cualquier otra subsidiaria de Sky y no afecta el servicio o la aplicación Sky Go.

 

 

 

 

Te puede interesar...

 Symantec mantiene su posición en el Cuadrante Mágico de Gartner Symantec mantiene su posición en el Cuadrante Mágico de Gartner
03 Feb 2018 01:50 - Redacción

  Symantec anunció que Symantec ha sido posicionada por Gartner, Inc. en el cuadrante de L [ ... ]

Enfrentando los nuevos retos que implica el MalwareEnfrentando los nuevos retos que implica el Malware
06 Feb 2018 18:49 - Adrián Rivera y Carlos Soto

Se especula que los ataques de ransomware perpetrados el año pasado son solo una muestra del pode [ ... ]

Manufactura inteligente, la clave para la transformación de la industriaManufactura inteligente, la clave para la transformación de la industria
31 Ene 2018 22:41 - Francisco Rodríguez, Gerente de Servicios Profesionales de Axis Communications

  Los fabricantes hoy en día se esfuerzan por simplificar los procesos complejos de producc [ ... ]

Tendencias y recomendaciones para tener la mejor solución VMS Tendencias y recomendaciones para tener la mejor solución VMS
17 Feb 2018 00:28 - Edgardo López, gerente de Ingeniería para Latinoamérica de Milestone

  Con el año nuevo también llegan nuevas oportunidades y desafíos para los profesionales  [ ... ]