Se propaga por medio de páginas falsas.
Tomó al menos tres años de actividad en el anonimato para que las compañías de seguridad pudieran detectar la amenaza para dispositivos con sistema operativo Android, Skygofree, un implante móvil malicioso que incorpora funcionalidades de cibervigilancia nunca antes vistas, que incluyen la grabación de audio a partir de ubicaciones específicas.
De acuerdo con Kaspersky Lab, la versión más actual del malware permite espiar las conversaciones y el ruido alrededor del dispositivo infectado al ingresar a una ubicación específica, así como el uso de servicios de accesibilidad para robar mensajes de WhatsApp y la posibilidad de conectarlo a redes Wi-Fi controladas por los atacantes, características que fueron señaladas como inéditas.
A través del aprovechamiento de vulnerabilidades, el implante también puede dar acceso raíz al dispositivo, así como permitirle tomar fotos y videos, capturar registros de llamadas, SMS, geolocalización, eventos del calendario e información almacenada en la memoria del dispositivo.
La firma indicó que el software puede agregarse a la lista de aplicaciones protegidas para seguir trabajando aunque la pantalla esté fuera de función, lo cual le permite continuar avanzando en la recolección de datos aunque el equipo esté en modo de espera.
Los investigadores de la compañía europea reportaron la detección del software que presumen ha permanecido activo desde 2014 gracias a su propagación por medio de páginas web que imitan a los principales operadores de redes móviles, otorgándole a los atacantes un completo control del dispositivo infectado de manera remota.
El nombre del software viene de uno de los dominios utilizados para engañar a los usuarios de una plataforma de video en Italia, que a través de páginas de aterrizaje falsas que se registraron entre 2015 y 2017, propagaron el implante aprovechando que la campaña de distribución del servicio se encontraba en su apogeo.
«Teniendo en cuenta los artefactos que descubrimos en el código del malware y nuestro análisis de la infraestructura, tenemos certeza de que el programador que está detrás de los implantes es una empresa de TI italiana que ofrece soluciones de vigilancia, como HackingTeam», aseguró Alexey Firsh, analista de malware e investigación de ataques dirigidos en Kaspersky Lab.
La empresa alertó que la amenaza continúa en curso aunque hasta la fecha no se han registrado víctimas que se encuentren fuera del territorio italiano.
Asimismo, la compañía de seguridad sugirió la posibilidad de que los desarrolladores del malware estuviesen interesados en usuarios de Windows, ya que pudieron encontrar una serie de módulos desarrollados recientemente dirigidos hacia la plataforma de Microsoft.
C$T-EVP