Skygofree, un puissant logiciel espion pour Android capable de capter toutes vos données
La majorité des chevaux de Troie se ressemblent.
Après être entrés dans un dispositif, ils volent les informations de paiement du propriétaire, minent des crypto-devises pour les attaquants ou cryptent les données et exigent une rançon.
Mais certains montrent des capacités qui rappellent les films d’espionnage hollywoodiens.
Un cheval de Troie découvert récemment appelé Skygofree (cela n’a rien à voir avec le service de télévision Sky Go), il porte le nom d’un des domaines qu’il utilisait).
Skygofree regorge de fonctions, dont certaines n’avaient jamais été rencontrées ailleurs.
Par exemple, il peut suivre l’emplacement d’un appareil sur lequel il est installé et activer l’enregistrement audio lorsque le propriétaire se trouve à un certain endroit.
Dans la pratique, cela signifie que les agresseurs peuvent commencer à écouter les victimes quand, par exemple, elles arrivent au bureau ou visitent la maison du PDG.
Une autre technique intéressante employée par Skygofree consiste à connecter subrepticement un smartphone ou une tablette infectés à un réseau Wi-Fi contrôlé par les attaquants ( même si le propriétaire de l’appareil a désactivé toutes les connexions Wi-Fi de l’appareil.)
Cela permet de collecter et d’analyser le trafic de la victime.
En d’autres termes, quelqu’un, quelque part, saura exactement quels sites ont été consultés et quels sont les identifiants, mots de passe et numéros de carte qui ont été saisis.
Le programme malveillant dispose également de quelques fonctions qui l’aident à fonctionner en mode veille.
Par exemple, la dernière version d’Android peut arrêter automatiquement les processus inactifs pour économiser la batterie, mais ‘Skygofree’ est capable de contourner cette fonctionnalité en envoyant périodiquement des notifications système.
‘Skygofree’ s’ajoute automatiquement à la liste des favoris.
Les malwares peuvent également surveiller les applications populaires telles que Facebook Messenger, Skype, Viber et WhatsApp.
Dans ce dernier cas, les développeurs ont de nouveau fait preuve de savoir-faire (le cheval de Troie lit les messages WhatsApp via les Services d’accessibilité)
C’est une sorte d’oeill numérique qui lit ce qui est affiché à l’écran, et dans le cas de ‘Skygofree’, il recueille les messages de WhatsApp.
L’utilisation des services d’accessibilité nécessite la permission de l’utilisateur, mais le malware cache la demande d’autorisation derrière une autre requête apparemment innocente.
Enfin et surtout, ‘Skygofree’ peut allumer secrètement la caméra frontale et prendre une photo lorsque l’utilisateur déverrouille l’appareil – on ne peut que deviner comment les criminels utiliseront ces photos.
Cependant, les auteurs de ce cheval de Troie innovant n’ont pas renoncé aux fonctionnalités plus banales.
‘Skygofree’ peut également intercepter des appels, des messages SMS, des entrées de calendrier et d’autres données utilisateur.
‘Skygofree’ à été découvert récemment, fin 2017, mais des analyses montre que les attaquants l’utilisent et l’ont amélioré constamment, depuis 2014.
Au cours des trois dernières années, il est passé d’un malware plutôt simple à un ‘spyware‘ complet et multifonctionnel.
Le malware est distribué par le biais de faux sites Web d’opérateurs mobiles, où ‘Skygofree’ est déguisé en mise à jour pour améliorer la vitesse de l’Internet mobile.
Si un utilisateur tombe dans le piège et télécharge le cheval de Troie, il affiche une notification indiquant que l’installation est censée être en cours, se cache de l’utilisateur et demande des instructions supplémentaires au serveur de commande.
En fonction de la réponse, il peut télécharger différentes charges utiles, les attaquants ont des armes adaptées à toutes les situations.
Mieux vaut prévenir
À ce jour, le service de protection cloud n’a enregistré que quelques infections, toutes localisées en Italie.
Ce logiciel existe depuis 2014 et son utilisation est toujours d’actualité, surtout en Italie qui semble être également son pays d’origine
‘Nos données statistiques indiquent plusieurs victimes à ce jour, toutes en Italie, souligne Kaspersky.
Et d’après les éléments de langage et les données techniques trouvés dans le code décompilé, les limiers de Kaspersky pensent « avec un haut degré de certitude que les auteurs des implants Skygofree travaillent pour une société informatique italienne proposant des solutions de surveillance, à la manière de HackingTeam ».
Mais cela ne signifie pas que les utilisateurs d’autres pays peuvent baisser la garde, les distributeurs de logiciels malveillants peuvent changer leur public cible à tout moment.
La bonne nouvelle, c’est que vous pouvez vous protéger contre ce cheval de Troie avancé comme de toutes les autres infections :
secunews.org: Conseille à tous les utilisateurs de s’assurer qu’ils disposent sur leur ordinateur et leur smartphone, d’un antivirus configuré pour se mettre à jour automatiquement et fréquemment, des derniers correctifs de sécurité diffusés,d’un logiciel pare-feu,éviter le plus possible les sites Web inconnus ou peu recommandables et de vous méfiez des mails reçus de provenance inconnue afin d’empêcher que vos PC ou vos appareils mobile ne deviennent un élément d’un réseau de zombie (botnet)