© ComNews
18.01.2018

Эксперты "Лаборатории Касперского" сообщили об обнаружении сложного многофункционального ПО для целенаправленной слежки с помощью мобильных устройств. Зловред Skygofree способен "подслушивать" разговоры, красть сообщения в мессенджере WhatsApp и подключать устройство к Wi-Fi-сети, которую контролируют атакующие. Кроме того, он может делать фотографии и снимать видео, перехватывать телефонные звонки и SMS, собирать информацию о местоположении, событиях в календаре и данные, хранящиеся в памяти устройства.

По данным "Лаборатории Касперского", к настоящему моменту насчитывается несколько жертв Skygofree. Все они территориально находятся в Италии. Антивирусный эксперт "Лаборатории Касперского" Алексей Фирш допустил, что распространение зловреда возможно и в России, однако специалистам компании пока неизвестны такие случаи.

"Проанализировав код этого ПО и всю связанную с ним инфраструктуру, мы можем с большой долей уверенности сказать, что за ним стоит итальянская ИТ-компания, разрабатывающая решения для слежки, аналогичная HackingTeam", - отметил Алексей Фирш.

По словам Алексея Фирша, уникальность вируса заключается в том, что весь вектор распространения строится на убеждении жертвы в том, что это установка сервисного обновления от мобильного оператора (зловред распространяется через поддельные веб-страницы операторов связи). На это указывают сайты, с которых осуществлялось распространение, а также сами маскирующие элементы шпиона. При этом, как именно жертва заманивается на такую страницу - неизвестно. Других способов распространения вируса специалисты "Лаборатории Касперского" не наблюдали.

Невооруженным глазом заметить деятельность подобных вредоносных программ чрезвычайно сложно, так как разработчики постоянно заботятся о совершенствовании способов сокрытия своего присутствия в системе.

Эксперт "Лаборатории Касперского" увидел тенденцию к увеличению количества вирусов, прослушивающих звонки, "читающих" сообщения, собирающих информацию о местоположении в мобильном устройстве. По его словам, шпионы для мобильных платформ - это очень эффективное средство сбора приватной информации о жертве.

При этом Алексей Фирш не стал говорить о том, что хакеры скорее атакуют пользователей мобильных устройств, нежели пользователей ПК. "Применение той или иной вредоносной программы обусловлено множеством факторов. Если жертва для коммуникаций чаще пользуется ПК, то логичнее использовать вредоносное ПО для него. Соответственно, с ростом популярности мобильных платформ будут учащаться случаи атак на них", - пояснил эксперт "Лаборатории Касперского".

Генеральный директор ООО "Доктор Веб" Борис Шаров со ссылкой на издание Security Affairs заметил, что конкретный вид зловреда известен еще с прошлого года. Первый подробный анализ этого шпионского ПО под названием "Отчет об анализе вредоносных программ: Fake 3MobileUpdater" опубликовали эксперты в CSE Cybsec ZLab.

Как заметил глава департамента мобильных угроз и мобильной безопасности Avast Николаос Крисайдос, это не первый случай обнаружения подобных шпионских программ. Он привел в пример Droidjack и OmniRat.

"Skygofree немного сложнее, чем его предшественники, и это говорит о том, что за последние несколько лет злоумышленники, стоящие за созданием вредоносного ПО, усовершенствовали свои навыки", - заметил Николаос Крисайдос. 

По мнению специалиста Avast, тенденция развития шпионских приложений будет продолжаться, так как с их помощью злоумышленники могут заполучить конфиденциальные данные, недоступные на ПК: контакты, журналы вызовов или точное местоположение пользователя с временной шкалой.

Технический директор Check Point Software Technologies Никита Дуров заметил, что вредоносные программы, направленные на получение данных мобильных устройств, встречаются все чаще и чаще. По его словам, чаще всего подобные программы используются для векторных атак на конкретных сотрудников компаний.

Как считает специалист отдела исследований безопасности мобильных приложений Positive Technologies Николай Анисеня, подобные зловреды в основном нацелены на конкретного человека. "Сложно сказать, насколько популярными такие трояны станут среди злоумышленников, поскольку полученную информацию довольно сложно монетизировать. В большинстве случаев злоумышленники используют проверенные способы - например, банковские трояны", - добавил он.

"По мере роста популярности смартфонов и планшетов вполне логично, что вирусописатели разрабатывают вредоносное ПО под мобильные платформы", - считает руководитель отдела технического сопровождения продуктов и сервисов Eset Russia Сергей Кузнецов.

По данным вирусной лаборатории Eset, в 2015 г. появлялось около 200 новых вредоносных программ для Android каждый месяц, в 2016 г. - около 300, в 2017 г. - 400.

С другой стороны, уверен специалист Eset, шпионского ПО вряд ли станет больше. По его словам, пока большинство кибератак производится ради финансовой выгоды, а шпионские программы сложно монетизировать.

Специалист Positive Technologies успокоил российских владельцев устройств, использующих их после 2015 г. По его словам, им можно не опасаться заражения конкретно этой версией вредоносного ПО. Однако другие трояны распространены гораздо шире и заражение ими может иметь более печальные последствия, нежели заражение шпионским ПО - например, немедленная кража денег с банковского счета или со счета мобильного телефона.

Согласно результатам исследования Check Point, проведенного среди 850 компаний на четырех континентах, все опрошенные организации подверглись атакам мобильного вредоносного ПО.

Никита Дуров привел статистику, согласно которой в топ-3 активных мобильных зловредов, по данным на декабрь прошлого года, входят Triada, Lokibot и Lotoor (все три зловреда направлены на устройства на платформе Android).

Специалист Check Point обратил внимание на то, что если ранее компания имела дело с приложениями, которые использовались для определенных векторных атак, то сейчас впервые встречаем вирус, который направлен на открытый рынок. "Skygofree заражает большое количество пользователей по всему миру, чтобы иметь доступ к конкретным устройствам или собирать информацию в определенных локациях", - добавил он.

"Количество мобильных устройств уже давно превышает количество ПК и ноутбуков. Соответственно, площадь атак на мобильные устройства намного выше, а значит, возможностей собрать нужную информацию больше", - подчеркнул Никита Дуров.

Чтобы обезопасить себя от мобильных угроз, рекомендует специалист Check Point, компаниям необходимо использовать такие решения для предотвращения продвинутых кибератак, как SandBlast Mobile, которые защищают от угроз для мобильных устройств и приложений, сетевых атак и угроз "нулевого дня".

"Следует своевременно устанавливать обновления ПО, причем загружать их необходимо с официальных сайтов или магазинов приложений. Любые приложения также необходимо скачивать только из проверенных источников, внимательно изучая пользовательские соглашения. Обращайте внимание на функции, к которым приложение запрашивает доступ: если, например, калькулятор запрашивает доступ к микрофону или камере, это должно вас насторожить", - посоветовал Никита Дуров.

Специалист Check Point добавил, что если на смартфоне хранятся ценные корпоративные данные, необходимо использовать технологии управления мобильными устройствами, а также так называемые песочницы, которые отслеживают подозрительный трафик и изолируют вредоносные файлы.

Специалисты Positive Technologies порекомендовали по возможности не пользоваться публичными Wi-Fi-сетями для оплаты и передачи личных данных.