Skygofree как пользоваться приложением

Обновлено: 06.01.2025

Появился новый троян на Android, который заманивает ничего не подозревающих пользователей большими обещаниями, такими как ускорение интернета и устройства. Вместо этого он заражает устройство и вирус потом нелегко удалить из системы.

Чем троян отличается от просто вируса?

Троянами принято называть вредоносные шпионские приложения, которые открывают перед злоумышленником доступ к вашему устройству. То есть с их помощью у вас могут похитить все персональные данные, включая фото, пароли, информацию кредитках и т.д.

Skygofree

Троян известен еще с 2014 года, но сейчас речь идет о его последней модификации. Skygofree может создавать и отправлять записи микрофона и камер вашего телефона, автоматически запускать аудиозапись в зависимости от вашего местоположения, чтобы отслеживать ваши действия и считывать весь трафик.

Чтобы иметь возможность отправлять данные, Skygofree создает собственное Wi-Fi-соединение и умеет включать функцию Wi-Fi. Android не разрешает приложениям без спроса делать такие вещи, но Skygofree обходит эти ограничения.

Как попадает на смартфон

При этом Skygofree не может возникнуть смартфоне из неоткуда. В Google Store его нет, он бы не прошел проверку безопасности. Троян скрывается за рекламными баннерами, которые внезапно появляются в вашем браузере и предлагают различные обновления и усовершенствования. Если вы нажмете на него, установка Skygofree запустится в фоновом режиме. Удалить вредоносное ПО непросто, потому что оно маскируется под системное приложение.

Как избежать

Ни в коем случае не открывать всякие всплывающие баннеры и прочий рекламный мусор. Ссылки в SMS и мессенджерах от незнакомых людей. Следует пользоваться только проверенными приложениями и скачивать их из надежных источников. Хотелось бы сказать, что скачивать лучше в Google Store, но, несмотря на всю строгость модерации сервиса у нас есть примеры вирусов скаченных оттуда. Мы об этом писали здесь .

Антивирусная компания «Лаборатория Касперского» объявила об обнаружении уникального в своём роде Android-зловреда Skygofree, который своими возможностями заставил специалистов компании вспомнить голливудские фильмы про шпионов.

У него полно разных функций, в том числе есть и уникальные, которые больше нигде не встречались. Например, он умеет отслеживать местоположение устройства и включать запись звука, когда владелец оказывается вблизи определённых координат. На практике это значит, что злоумышленники могут начать прослушивать окружение жертвы, скажем, когда она входит в офис или в гости к знакомому финансовому директору.

Ещё один интересный приём, который освоил Skygofree, — втихую подключать заражённый смартфон или планшет к Wi-Fi-сетям, находящимся под полным контролем злоумышленников. Даже если владелец устройства вообще отключил Wi-Fi на устройстве. Это позволяет собирать и анализировать трафик жертвы. Иными словами, кто-то будет точно знать, на какие сайты заходила жертва и какие логины, пароли и номера карт вводила.

Есть у зловреда и пара функций, облегчающая ему работу в режиме ожидания. Так, новейшая версия Android может автоматически останавливать неактивные процессы для экономии заряда батареи, но Skygofree обходит это, периодически отправляя системе уведомления. А на смартфонах одного из крупнейших производителей, которые при выключении экрана останавливают работу всех приложений, кроме избранных, Skygofree сам добавляет себя в список этих самых избранных.

Также зловред умеет следить за работой популярных приложений вроде Facebook Messenger, Skype, Viber, WhatsApp. Причем в последнем случае разработчики вновь проявили смекалку — троян читает переписку в WhatsApp, используя инструмент «Специальные возможности» (Accessibility Services), предназначенный для пользователей со слабым зрением или слухом. Использовать Accessibility Services можно только с разрешения пользователя, но зловред прячет запрос на это разрешение за каким-нибудь другим, внешне безобидным запросом.

Наконец, Skygofree может скрытно включить фронтальную камеру и сделать снимок, когда пользователь разблокирует устройство. Кроме того, у Skygofree остались стандартные для обычных зловредов функции по перехвату звонков, смс, записей календаря и прочих данных пользователя.

Обнаружили Skygofree недавно, в конце 2017 года, однако, судя по результатам анализа, злоумышленники используют его ещё с 2014-го и постоянно совершенствуют. За три года из простенького зловреда он вырос до многофункционального шпионского инструмента.

Зловред распространяется через Интернет, используя поддельные сайты сотовых операторов. На них злоумышленники предлагают установить Skygofree под видом обновления, которое повысит скорость мобильного доступа к Интернету. Если посетитель попадается на удочку и скачивает себе заразу, троян показывает уведомление о якобы начавшейся настройке, прячется от пользователя и запрашивает с командного сервера дальнейшие инструкции. В зависимости от ответа он может скачивать самую разную полезную нагрузку.

В «Лаборатории Касперского» заявили, что пока их служба безопасности зафиксировала всего несколько заражений, причём все — в Италии. Однако в компании отметили, что это не значит, что российским пользователям можно расслабиться: преступники могут в любой момент сменить целевую аудиторию зловреда.

Чем троян отличается от просто вируса?

Троянами принято называть вредоносные шпионские приложения, которые открывают перед злоумышленником доступ к вашему устройству. То есть у вас могут похитить все персональные данные, включая фото, пароли, информацию кредитках и т.д.

Skygofree

Как избежать?

Более того, во время расследования мы обнаружили несколько троянцев-шпионов под Windows, которые предназначались для получения конфиденциальных данных с атакуемых машин. Версии, которые мы нашли, были скомпилированы в начале 2017 года, и на данный момент мы не уверены, что импланты под Windows уже использовались для атак.

Мы назвали зловреда Skygofree, это слово было найдено в одном из доменов.

Функциональность зловреда

Android

Согласно подписям найденных образцов этого Android-зловреда, его ранние версии были созданы еще в последние месяцы 2014 года, а разработка продолжается и по сей день.

Сигнатура одной из ранних версий

Код и функциональность Skygofree менялись несколько раз – от примитивного необфусцированного зловреда в начале до сложного многоступенчатого троянца-шпиона, который дает злоумышленнику полный удаленный контроль над зараженным устройством. Мы проанализировали все обнаруженные версии, включая последнюю, которая подписана сертификатом, валидным с 14 сентября в 2017 года.

После запуска пользователем Skygofree показывает фальшивое приветствие:

В то же самое время зловред скрывает свою иконку из списка установленных приложений и запускает следующие сервисы в фоновом режиме:

Почти в каждом сервисе была реализована интересная функция самозащиты. Начиная с Android 8.0 (SDK API 26) операционная система обладает возможностью завершать сервисы, которые находятся в состоянии простоя, поэтому, чтобы предотвратить свое завершение, каждый сервис исполняет следующий код:

Несколько приложений, являющихся целями команды MDM-граббинга

Фрагменты кода метода addWifiConfig

Кроме того, мы нашли отладочную версию имплантата (70a937b2504b3ad6c623581424c7e53d), которая содержит интересные константы, включая версию шпионского ПО.

Debug BuildConfig с версией зловреда

После глубокого анализа всех обнаруженных версий Skygofree мы составили приблизительный график эволюции имплантата.

Эволюция мобильного зловреда

Однако некоторые факты указывают на то, что образцы APK со второй стадии также могут использоваться отдельно в качестве первого этапа инфекции. Ниже приведен список полезных нагрузок, используемых имплантом Skygofree на второй и третьей стадии.

Полезная нагрузка Reverse shell

В качестве альтернативы эти параметры для соединения с командным сервером могут быть указаны в коде самой полезной нагрузки:

Также мы видели модификации Skygofree, у которых модуль reverse shell находился непосредственно в папке /lib главного APK файла.

Строка в полезной нагрузке reverse shell

Полезная нагрузка с эксплойт-паком

В то же время мы обнаружили важный исполняемый файл, который пытается использовать несколько известных уязвимостей для получения прав суперпользователя на устройстве. Согласно нескольким временным меткам эта полезная нагрузка используется в имплантах, созданных начиная с 2016 года. Она также может быть загружена с помощью определенной команды. Полезная нагрузка содержит следующие компоненты файла:

Имя компонента	Описание
run_root_shell/arrs_put_user.o/arrs_put_user/poc	Эксплойт для получения прав суперпользователя
db	Утилита Sqlite3
device.db	База данных Sqlite3, содержащая список поддерживаемых эксплойтом устройств и некоторые константы, необходимые для его работы

Фрагмент базы данных с атакуемыми устройствами и адресами памяти

Если зараженное устройство не указано в этой базе, эксплойт пытается обнаружить эти адреса программно.

После загрузки и распаковки основной модуль запускает исполняемый файл эксплойта. После выполнения модуль пытается получить права root на устройстве, используя следующие уязвимости:

CVE-2013-2094
CVE-2013-2595
CVE-2013-6282
CVE-2014-3153 (futex aka TowelRoot)
CVE-2015-3636

Мы обнаружили, что код полезной нагрузки эксплойта имеет много общего с проектом android-rooting-tools, который доступен публично.

Фрагмент декомпилированного кода эксплойта

Функция run_with_mmap из проекта android-rooting-tools

Как видно из сравнения, есть похожие строки, а также уникальный комментарий на итальянском языке, так что похоже, что злоумышленники создали эту полезную нагрузку на основе исходного кода проекта android-rooting-tools.

Полезная нагрузка Busybox

Кража ключа шифрования WhatsApp с помощью Busybox

Полезная нагрузка для социальных сетей

Вот список приложений, которые могут быть атакованы проанализированной версией модуля:

Имя пакета	Имя приложения
jp.naver.line.android	LINE: Free Calls & Messages
com.facebook.orca	Facebook messenger
com.facebook.katana	Facebook
com.whatsapp	WhatsApp
com.viber.voip	Viber

Полезная нагрузка для воровства информации приложений

Получив определенную команду, имплант может загрузить специальную полезную нагрузку для воровства конфиденциальной информации из внешних приложений. Мы наблюдали случай, когда Skygofree таким образом атаковал WhatsApp. В рассмотренной версии он был загружен с hxxp://url[.]plus/Updates/tt/parser.apk

Скачанный файл загружается в адресной пространство процесса с помощью API DexClassLoader:

Импланту требуется специальное разрешение на использование API Accessibility Service, но есть команда, которая выполняет запрос с фишинговым текстом, отображаемым пользователю для получения такого разрешения.

Версия для Windows

Мы обнаружили несколько связанных с Skygofree компонентов, которые образуют систему для осуществления шпионской деятельности на платформе Windows.

Имя файла	MD5	Назначение
msconf.exe	55fb01048b6287eadcbd9a0f86d21adf	Основной модуль, reverse shell
network.exe	f673bb1d519138ced7659484c0b66c5b	Отправка собранных данных на сервер
system.exe	d3baa45ed342fbc5a56d974d36d5f73f	Запись аудио на микрофон
update.exe	395f9f87df728134b5e3c1ca4d48e9fa	Отслеживание нажатий клавиш
wow.exe	16311b16fd48c1c87c6476a455093e7a	Создание скриншотов
skype_sync2.exe	6bcc3559d7405f25ea403317353d905f	Запись звонков Skype в MP3

Все модули, за исключением skype_sync2.exe, написаны на Python и были собраны в исполняемые файлы с помощью инструмента Py2exe. Такое преобразование позволяет запускать код Python в среде Windows без предустановленного дистрибутива Python.

CREATE TABLE MANAGE(ID INT PRIMARY KEY NOT NULL,Send INT NOT NULL, Keylogg INT NOT NULL,Screenshot INT NOT NULL,Audio INT NOT NULL);
INSERT INTO MANAGE (ID,Send,Keylogg,Screenshot,Audio) VALUES (1, 1, 1, 1, 0 )

Код содержит несколько комментариев на итальянском языке, вот наиболее примечательный пример:

Вот список команд для Windows-версии импланта:

Имя	Описание
cd	Изменить текущий каталог на указанный в параметре команды
quit	Закрыть сокет
nggexe	Выполнить полученную команду с помощью команды Python subprocess.Popen(), вывод команды отбрасывается
ngguploads	Загрузить указанный файл на указанный URL
nggdownloads	Загрузить контент с указанного URL и сохранить в указанный файл
nggfilesystem	Дамп структуры директорий диска C:, сохраняется в файл в формате JSON
nggstart_screen nggstop_screen	Включить/отключить модуль скриншотов. Когда модуль включен, он делает снимок экрана каждые 25 секунд
nggstart_key nggstop_key	Включить/отключить модуль кейлоггера
nggstart_rec nggstop_rec	Включить отключить модуль записи окружающего аудио на микрофон
ngg_status	Отправка состояния компонентов на C&C
any other	Выполнить полученную команду с помощью команды Python subprocess.Popen(), вывод команды отправляется на C&C

Все модули устанавливают своим файлам атрибут скрытости. Ниже приведены пути и форматы имен файлов для разных модулей:

Модуль	Пути	Формат имени файла
msconf.exe	%APPDATA%/myupd/gen/	%Y%m%d-%H%M%S_filesystem.zip (файл содержащий структуру директорий)
system.exe	%APPDATA%/myupd/aud/	%d%m%Y%H%M%S.wav (аудиозапись окружения)
update.exe	%APPDATA%/myupd_tmp/txt/ %APPDATA%/myupd/txt/	%Y%m%d-%H%M%S.txt (кейлоггер)
wow.exe	%APPDATA%/myupd/scr/	%Y%m%d-%H%M%S.jpg (снимки экрана)
skype_sync2.exe	%APPDATA%/myupd_tmp/skype/ %APPDATA%/myupd/skype/	yyyyMMddHHmmss_in.mp3 yyyyMMddHHmmss_out.mp3 (записи звонков Skype)

После запуска он напрямую с C&C-сервера загружает кодек для кодирования MP3:

Модуль skype_sync2.exe имеет временную метку компиляции (06 февраля 2017 года), и в отладочной информации содержится следующая строка:

network.exe – это модуль для отправки на сервер всех собранных данных. В наблюдаемой версии импланта у него нет интерфейса для работы с модулем skype_sync2.exe.

Похожесть кода

Мы обнаружили некоторое сходство между кодом импланта Skygofree для Windows и общедоступным проектам:

Похоже, разработчики скопировали функциональную часть модуля кейлоггера из этого проекта.

Читайте также: