Skygofree: un espía de móviles al estilo de Hollywood

17 Ene 2018

Muchos troyanos hacen lo mismo: después de infectar un dispositivo, roban los datos de pago del propietario, minan criptomonedas para los ciberdelincuentes o cifran datos y piden un rescate a cambio. Pero algunas de sus habilidades son más propias de las películas de acción de Hollywood.

Recientemente hemos descubierto un troyano muy cinematográfico llamado Skygofree y, aunque lo parezca, no tiene nada que ver con el servicio de televisión. Recibe ese nombre por uno de los dominios que emplea. Skygofree tiene muchas funciones, algunas ni se han visto en otros lugares. Por ejemplo, puede monitorizar la ubicación de un dispositivo, instalarse y grabar un audio cuando el propietario se encuentre en una determinada posición. En la práctica, esto quiere decir que los ciberdelincuentes pueden escuchar lo que dicen las víctimas cuando, por ejemplo, están en la oficina o entran en el despacho del director.

Otra técnica interesante de Skygofree es que conecta de manera oculta un smartphone o una tablet a una red wifi controlada por los ciberdelincuentes, aunque el propietario del dispositivo haya desconectado todas las redes wifi del dispositivo. Esto permite recopilar y analizar el tráfico de la víctima. En otras palabras, alguien en algún lugar sabrá con exactitud qué sitios has visitado y qué nombres de usuario, contraseñas y números de cuentas has introducido.

El malware también tiene un par de funciones que lo ayudan a operar en modo espera. Por ejemplo, la última versión de Android puede detener aplicaciones inactivas de forma automática para ahorrar batería, pero Skygofree es capaz de evitarlo enviando de forma periódica notificaciones del sistema. Y en los smartphones de las grandes compañías, cuando todas las aplicaciones a excepción de las favoritas se paran cuando la pantalla se apaga, Skygofree se añade a sí mismo a la lista de favoritos.

El malware también puede controlar aplicaciones tan populares como Facebook Messenger, Skype, Viber y WhatsApp. En el último caso, los desarrolladores vuelven a mostrar su destreza, ya que el troyano lee los mensajes de WhatsApp a través de los Servicios de accesibilidad. Ya hemos explicado cómo usan los ciberdelincuentes esta aplicación para usuarios con discapacidades visuales y auditivas, con el fin de controlar un dispositivo infectado. Es una especie de “ojo digital” que lee lo que se muestra en la pantalla y, en el caso de Skygofree, recopila los mensajes de WhatsApp. Para usar los Servicios de accesibilidad es necesario el consentimiento del usuario, pero el malware esconde la solicitud de permiso detrás de otra petición con una apariencia más inocente.

Por último, pero no menos importante, Skygofree puede activar en secreto la cámara interna y hacer una foto cuando el usuario desbloquea el dispositivo (y quién sabe qué uso le darán los cibercriminales a esas fotos).

Sin embargo, los autores del innovador troyano no prescindieron de las características más comunes. Skygofree también puede interceptar llamadas, mensajes de texto, entradas de calendario y otros datos de usuario.

La promesa de Internet rápido

Hace poco que descubrimos Skygofree, a finales de 2017, pero nuestro análisis demuestra que los atacantes han estado usándolo y mejorándolo desde 2014. Durante los últimos tres años, ha pasado de ser un simple malware, a convertirse en un spyware multifuncional.

El malware se distribuye a través de sitios web de operadores de telefonía móvil falsos, donde Skygofree se disfraza como una actualización para mejorar la velocidad de Internet en el móvil. Si un usuario pica el anzuelo y descarga el troyano, éste emite una notificación de que la instalación está en progreso, se oculta del usuario y solicita más instrucciones desde el servidor de comando. Según la respuesta, puede descargar una variedad de cargas. Los ciberdelincuentes tienen soluciones para casi todas las ocasiones.

Más vale prevenir que curar

Hasta la fecha, nuestro servicio de protección en la nube solo ha registrado unas pocas infecciones, todas en Italia. Pero eso no quiere decir que los usuarios de otros países puedan bajar la guardia. Los distribuidores de malware pueden cambiar su público objetivo en cualquier momento. La buena noticia es que te puedes proteger contra este troyano tan avanzado del mismo modo que lo haces de otras infecciones:

  1. Instala aplicaciones solo de las tiendas oficiales. Te recomendamos que desactives la instalación de aplicaciones de fuentes de terceros, lo cual puedes hacer desde los ajustes de tu smartphone.
  2. Si tienes dudas, no descargues. Presta atención a los nombres mal escritos, al bajo número de descargas o a las solicitudes de permiso dudosas.
  3. Instala una solución de seguridad fiable, por ejemplo, Kaspersky Internet Security for Android. Protegerá tu dispositivo de la mayoría de las aplicaciones y archivos maliciosos, sitios web sospechosos y enlaces peligrosos. En la tercera versión se pueden realizar análisis manuales y la versión de pago de forma automática.
  4. Recomendamos a los usuarios de empresas que utilicen Kaspersky Security for Mobile, un componente de Kaspersky Endpoint Security for Business para proteger los teléfonos y las tablets que usan los empleados en el trabajo.