SkyGoFree l’app per Android nasconde uno spyware ed è stata utilizzata solo in Italia a partire dal 2014. Per i ricercatori è estremamente professionale.

L’Italia, come è stato detto da molti, sarà anche indietro nel settore della cyber-sicurezza, ma in quello del cyber-spionaggio il nostro paese sembra cavarsela piuttosto bene.

A più di due anni dalla vicenda Hacking Team, che ha fatto scoprire all’opinione pubblica l’esistenza di una “eccellenza” italiana in questo settore, arriva la notizia che l’Italia può vantare un altro primato: è nostro (sigh) lo spyware per Android più avanzato che sia mai stato individuato.

L’italianità del malware è evidente già dal nome (Skygofree) che è stato scelto dai ricercatori a causa del fatto che il malware è stato diffuso inducendo le vittime a credere che si trattasse di un’app per guardare i programmi della celebre Pay TV a scrocco.

Come riportano i ricercatori di Kaspersky in un report che analizza in modo dettagliato il software, però, è tutta italiana anche la diffusione del malware.

Skygofree è stato infatti distribuito negli ultimi 3 anni attraverso una serie di pagine Web e, nel corso del tempo, è stato aggiornato più volte. Secondo gli analisti, che hanno esaminato tutte le versioni dello spyware, in un primo momento era piuttosto elementare e non utilizzava nemmeno tecniche di offuscamento del codice.

skygofree

Lo schema riassume l’evoluzione di Skygofree nel corso degli anni come ricostruita dagli analisti di Kaspersky.

Le ultime versioni (la più recente ha un certificato digitale del 14 settembre 2017) sono invece un vero capolavoro. Si tratta infatti di un malware modulare, con funzioni di spionaggio che i ricercatori non hanno mai visto in precedenza.

Tutto sotto controllo

Una volta installato sul dispositivo, Skygofree ottiene i privilegi di root utilizzando una serie di exploit specifici per ogni tipo di smartphone e a questo punto può essere controllato dai pirati informatici attraverso http, SMS, XMPP, e attraverso il servizio Firebase Cloud Messaging.

Le funzioni sono numerose e comprendono la possibilità di intercettare messaggi e comunicazioni, rubare le informazioni riguardanti i profili social, accedere alla fotocamera, ma anche di tracciare i movimenti attraverso il GPS e registrare le conversazioni usando il microfono.

skygofree

Questa è la porzione di codice che consente al malware di rubare le informazioni relative al profilo Facebook della vittima.

A impressionare, però, è la raffinatezza delle funzioni. Il sistema di intercettazione audio ambientale, per esempio, può essere impostato in modo che si attivi automaticamente quando la vittima si trova in un determinato luogo.

Anche la cattura di immagini dalla fotocamera sembra essere pensata principalmente per individuare l’utilizzatore del dispositivo, prevedendo per esempio che scatti una foto con la fotocamera frontale quando qualcuno sblocca il dispositivo.

Anche per Windows

Scavando più a fondo, i ricercatori hanno individuato anche una serie di componenti pensati per i sistemi Windows, con funzioni di spionaggio simili a quelle implementate sulla versione per Android.

In questo caso le funzioni sono “mirate” per il sistema operativo Microsoft e comprendono, per esempio, un sistema che permette di rubare tutta la cronologia di Skype.

Naturalmente la versione per PC contiene un keylogger (secondo i ricercatori Kaspersky “clonato” dal codice di uno strumento pubblicato su GitHub) e un sistema di intercettazione ambientale che sfrutta il microfono del computer.

Insomma: tirando le somme si tratta di uno strumento di spionaggio altamente professionale, realizzato per consentire una forma di controllo estremamente invasiva nei confronti di chi viene colpito.

100% Made in Italy

Sul fatto che il malware sia stato sviluppato da un connazionale non ci sono dubbi. All’interno del codice, infatti, i ricercatori hanno trovato commenti in italiano che confermano la teoria che si tratti di un “prodotto nostrano”.

skygofree

A parte qualche imprecisione nella battitura, i commenti sono scritti in un italiano fluido e colloquiale, che non lascia dubbi sull’origine dell’autore.

Ma la conferma arriva anche quando si va a guardare l’elenco dei comandi a disposizione dei pirati informatici. Se alcuni comandi utilizzano termini inglesi, qui e là compaiono parole in italiano.

skygofree

Comandi come “disattiva” e “registro_chiamate” possono essere stati previsti solo da qualcuno che parla correntemente italiano. Di più: dimostra che il malware è pensato per un “pubblico” italiano.

Per quanto riguarda la distribuzione del malware, secondo gli analisti sarebbe stato diffuso attraverso delle pagine Web create appositamente per fare in modo che i visitatori credessero di trovarsi di fronte a siti Internet di operatori di telecomunicazioni italiani.

 

Nessun errore di ortografia di quelli che siamo abituati a vedere nei siti di phishing creati da cyber-criminali stranieri utilizzando i sistemi di traduzione automatica.

Nulla si dice, invece, riguardo il vettore di attacco. Potrebbe trattarsi di phishing via email o SMS, ma anche di tecniche più elaborate come attacchi Man in the Middle (per esempio attraverso il dirottamento del traffico in una rete Wi-Fi) utilizzati per portare le vittime sui siti infetti.