นักวิจัยด้านความปลอดภัยจาก Kaspersky Lab ได้ค้นพบ Spyware ตัวใหม่บน Android โดยตั้งชื่อว่า Skygofree ซึ่งเชื่อว่าถูกสร้างขึ้นโดยบริษัท Italian IT โดยมีเป้าหมายเป็นผู้ใช้ในประเทศอิตาลีเท่านั้น
นักวิจัยกล่าวว่าในโค้ดของสปายแวร์มี Multiple strings และ Comments ที่เป็นภาษาอิตาลี และพบข้อความ "negg" ซึ่งตรงกับชื่อของบริษัท ซอฟต์แวร์ด้านไอทีของอิตาลี (Negg International) ที่ให้บริการเกี่ยวกับโฆษณารวมถึงการรักษาความปลอดภัยในโลกไซเบอร์ มือถือ และพัฒนาแอพบนเว็บ ทาง Kaspersky ยังไม่สามารถยืนยันได้ว่า negg เป็นผู้สร้าง Skygofree โดยอาจพัฒนาขึ้นเพื่อใช้ในทางกฎหมายของอิตาลีเพื่อช่วยในการจับกุมผู้ต้องสงสัยในการสืบสวนอย่างเป็นทางการ ซึ่งเครื่องมือดังกล่าวเรียกว่า "lawful intercept" หรือ "lawful surveillance"
Skygofree เป็นเครื่องมือสอดแนมบน Android ซึ่งในเชิงเทคนิคถือว่ามีประสิทธิภาพมาก เช่น การใช้ประโยชน์จากช่องโหว่หลายอย่างเพื่อให้ได้รับสิทธิ์ root ,โครงสร้างของ Payload ที่ซับซ้อน และความสามารถอื่นๆ ของ Skygofree ซึ่งสรุปจากการวิเคราะห์ของ Kaspersky ได้แก่
- บันทึกเสียงและอัพโหลดไฟล์บนเซิร์ฟเวอร์จากระยะไกล
- บันทึกเสียงรอบด้านในสถานที่ที่กำหนด
- การติดตามตำแหน่งด้วยการตรวจจับการเคลื่อนไหว
- การติดตาม GSM (CID, LAC, PSC)
- ขโมยข้อมูลจากคลิปบอร์ดของโทรศัพท์
- Keylogging features
- ค้นหาไฟล์และอัพโหลดไฟล์ที่ถูกขโมยไปยังเซิร์ฟเวอร์ได้จากระยะไกล
- Skygofree สามารถควบคุมผ่านโปรโตคอล HTTP, XMPP, binary SMS และ FirebaseCloudMessaging
- สร้างการเชื่อมต่อ Wi-Fi ใหม่และบังคับให้โทรศัพท์ของผู้ใช้เชื่อมต่อ
- สามารถเพิ่มตัวเองลงในรายการ "Protected Apps" บนอุปกรณ์ Huawei ได้ แอปในรายการนี้ได้รับอนุญาตให้ทำงานเมื่อปิดหน้าจอโทรศัพท์
- reverse shell สำหรับการส่งคำสั่งไปยังอุปกรณ์ที่ติดไวรัส
- ใช้ประโยชน์จากช่องโหว่ (CVE-2013-2094, CVE-2013-2595, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636)
- สามารถดึงข้อมูลจากแอพพลิเคชัน IM เช่น Line, Viber, WhatsApp, Facebook และ Facebook Messenger
- อ่านบทสนทนาใน WhatsApp
แม้ว่าจะเป็นหนึ่งในมัลแวร์แอนดรอยด์ที่ทันสมัยที่สุด แต่ Skygofree ไม่ใช่โค้ดต้นฉบับ มัลแวร์ดังกล่าวถูกใช้ร่วมกันโดยใช้โครงการโอเพนซอร์สหลายโครงการบน GitHub เช่น PRISM (reverse shell), Android-rooting-tools (Android rooting tools), El3ct71k Keylogger (keylogger) และ Xenotix Python Keylogger ( Windows keylogger)
ที่มา : BLEEPINGCOMPUTER
You must be logged in to post a comment.