Skygofree es un poderoso spyware contra Android que roba datos de múltiples aplicaciones

Investigadores de Kaspersky han descubierto una poderosa herramienta de espionaje contra Android que se dedica a explotar vulnerabilidades para robar datos desde múltiples frentes.

Llamado Skygofree, se trata de un spyware contra Android posiblemente creado para propósitos de vigilancia y activo desde 2014. Su desarrollo parece haber sido responsabilidad de Negg, una empresa tecnológica italiana que supuestamente ha trabajado para el gobierno del país transalpino en varias ocasiones.

Kaspersky no está en condiciones de afirmar con rotundidad quién es el autor de Skygofree, pero tiene fuertes sospechas sobre Negg después de encontrar el nombre de la compañía repetido en múltiples ocasiones en el código fuente del spyware.

Las primeras versiones de Skygofree no parece que hayan sido distribuidas de forma indiscriminada por Internet. Con el paso del tiempo ha ido incorporando características como el grabar sonido mediante el micrófono si el smartphone se encontraba en algunas zonas específicas, utilizar los servicios de accesibilidad de Android para robar mensajes de WhatsApp y es capaz de conectar dispositivos infectados a redes Wi-Fi maliciosas controladas por los atacantes, abriendo así la puerta a ataques de tipo man-in-the-middle.

El principal medio de distribución de Skygofree ha sido el phishing mediante la falsificación de los sitios web de los principales operadores móviles. La mayoría de los procesos de infección se habrían producido en 2015, año en el que el malware ha estado más activo según Kaspersky.

Skygofree es aparentemente un malware bastante sofisticado. Después de ser instalado en un smartphone Android, esconde su icono y se pone a ejecutar servicios en segundo plano para llevar a cabo acciones contra la víctima sin que esta se entere. Además, incluye características de protección que impiden que se puedan matar los servicios que ejecuta.

La versión más reciente de Skygofree conocida fue publicada en octubre de 2017. Para entonces se había convertido en una sofisticada herramienta de espionaje en múltiples etapas que daba a los atacantes control total y remoto sobre el dispositivo infectado, utilizando para ello una carga de shell inversa y un servidor de mando y control.

Para poder exprimir aun más el dispositivo infectado, utiliza múltiples exploits de escalada de privilegios que le otorgan acceso como root (administrador), pudiendo así ejecutar cargas útiles más complejas. De esas cargas útiles, una de ellas era capaz de robar datos de Facebook, WhatsApp, Line y Viber.

El servidor de mando y control ampliaba las posibilidades de espionaje, permitiendo a los atacantes realizar fotografías y grabar vídeos de forma remota, hacerse con los registros de llamadas y SMS, así como monitorizar la geolocalización del usuario, los eventos del calendario y cualquier información que esté almacenada en el dispositivo.

Además de Android, los investigadores de Kaspersky han encontrado una versión de Skygofree contra Windows, cosa que no tendría que sorprendernos si tenemos en cuenta que el sistema de Microsoft sigue siendo el más acosado por el malware.

Volviendo a Android, no instalar aplicaciones procedentes de tiendas de terceros es importante para no acabar infectado por un malware. Por otro lado, la gran cantidad de dispositivos sin soporte que hay funcionamiento allana demasiado el terreno a los cibercriminales.

Fuente: The Hacker News