Skygofree : un malware très rusé débusqué par Kaspersky

 

La firme a révélé l’existence d’un puissant spyware menaçant Android et d’autres OS. Celui-ci, découvert que dernièrement, a été constamment amélioré depuis plusieurs années.

Android, de par sa nature d’OS mobile, est une cible de choix pour les personnes malintentionnées. Surtout quand on sait que le robot vert tourne sur plus de deux milliards d’appareils dans le monde. C’est donc sans surprise qu’un malware a encore été découvert. Repéré fin 2017 par les agents de la firme russe Kaspersky, le leader mondial de la cybersécurité indique que ce spyware baptisé Skygofree (d’après l’un des noms de domaine utilisés) a été créé en 2014 en Italie. Il ne toucherait d’ailleurs que ce pays.

Un dangereux malware

Il existe différents types de menaces, des malwares mal codés presque inoffensifs à ceux au potentiel ravageur. Dans la catégorie des spywares, Skygofree se montre assez redoutable dans son genre, à commencer par le piège mis en place. Sur de fausses pages web de « configuration réseau » imitant les sites web d’opérateurs de télécommunication, un message (non officiel) incite l’utilisateur à procéder à l’installation d’un outil s’il veut profiter du débit optimal de connexion Internet. Évidemment, ces instructions somment l’utilisateur d’activer les sources inconnues dans les paramètres puis d’exécuter le fichier apk téléchargé.

À noter que la plupart de ces sites créés pour l’opération en 2015 ne sont désormais plus fonctionnels, mais les domaines les plus récents enregistrés en octobre 2017 prouvent que la campagne est toujours active, avec de récentes infections détectées en Italie.

Concernant le fonctionnement du malware, Kaspersky prouve que ce dernier est des plus versatiles de par son répertoire d’exécution composé d’une cinquantaine de commandes. Skygofree peut par exemple s’activer en fonction d’un endroit donné et enregistrer le son environnant (pratique dans un bureau pour capter des informations confidentielles), activer le Wi-Fi pour forcer l’appareil à se connecter à un nouveau point d’accès compromis/géré par les cybercriminels pour capturer les données transmises (attaque de type homme du milieu), exploiter le service de gestion de flotte d’entreprise pour enregistrer les données d’autres d’applications – plus spécifiquement à usage professionnel et utiliser les services d’accessibilité pour récupérer les messages d’applications sociales (principalement WhatsApp). Plus classiquement, il peut dérober une pléthore d’éléments : photos, vidéos, SMS, historique d’appels, position, évènements du calendrier, presse-papier, mémoire de l’appareil, saisie clavier

Le plus intéressant dans tout cela restant les méthodes de protection mises en place. Puisqu’il tourne en tâche de fond, afin de ne pas être tué par le système, Skygofree renvoie constamment des notifications d’activité. Et pour les cas d’économie d’énergie plus agressifs, comme sur les terminaux Huawei, le malware veille à se rajouter sur la liste blanche des applications protégées.

Une montée en puissance

Kaspersky révèle, après avoir étudié de multiples versions du package, qu’à son premier stade le malware ne se contentait que de fouiller dans la base de données WhatsApp de l’appareil. Dans sa deuxième évolution, en 2015, l’application cherchait à s’accaparer les privilèges root via les méthodes traditionnelles (binaires Superuser et busybox). À la troisième transformation, en 2016, plusieurs modules sont intégrés afin de tirer avantage de différentes vulnérabilités connues, dont l’exploit Towelroot. Dans sa dernière version, Android n’est pas seulement menacé, il se trouve que les hackeurs sont également intéressés par Windows, plus particulièrement Skype et WoW (World of Warcraft).

En analysant les ressources utilisées, les chercheurs en sont venus à la conclusion que Skygofree n’a pas été développé de zéro. Ceux derrière ce projet ont procédé principalement à une compilation de fichiers et outils déjà existants avec un code source en libre accès.

Derrière la menace

Différentes traces laissent penser que l’entreprise Negg International aurait développé le spyware Skygofree. Sans l’accuser ouvertement, le géant russe met en avant les traces et références relevées (commentaires, signatures, serveurs, adresses IP, Whois).

Cela pourrait prouver que cette entreprise italienne spécialisée dans l’informatique soit à l’origine de cette application malveillante. La devise du fondateur de cette société « Nous devons créer ce qui n’existe pas, ce processus doit être un jeu amusant » est assez cocasse pour le coup.

Comment l’éviter

Il est bon de rappeler que la meilleure protection, c’est l’utilisateur. En respectant certaines mesures et en faisant preuve de bon sens, il est facile de déjouer ces attaques qui partent la plupart du temps d’un manque de vigilance. Toujours se méfier de l’origine et appliquer les bases de sécurité. En l’occurrence, ne pas activer l’installation à partir de sources inconnues, télécharger à partir de portails/magasins d’applications officiels, et prendre garde au contenu trompeur étant donné que nombre de fausses applications pullulent.