揭秘历时三年研发的手机间谍软件- Skygofree木马病毒

我们在2017年底才发现了Skygofree,不过分析显示从2014年起攻击者就一直在利用该病毒,并不断进行改进。三年来Skygofree已经从一款非常简单的恶意软件演变成一个功能强大的、成熟的间谍软件。

一般来说大多数木马病毒的行径都是类似的:它们会潜入某个设备,然后窃取设备主人的支付信息、为攻击者挖掘加密货币,或者对数据进行加密并索要赎金。不过有些木马病毒所展示出来的强大功能更像是好莱坞间谍电影中才会出现的桥段。

最近我们发现了一种只有在电影桥段中才会看到的木马病毒,名字叫做Skygofree(不过该病毒与电视服务Sky Go无任何关系;该名称来自其所用的域名之一)。Skygofree的功能十分强大,其中一些功能我们并未在别的地方见过。比如一旦在某一设备上安装成功,就可以对该设备的位置进行追踪,当设备主人身处某地时便会开始录音。这意味着受害人一旦进入办公室或CEO的住宅,攻击者便可以开始监听,如此他们何时何地以及说过什么都尽在掌握。

Skygofree还有一个引人关注的技能,即偷偷地将受感染的智能手机或平板电脑连接到受攻击者控制的Wi-Fi网络——即使设备主人选择禁止设备连接所有Wi-Fi网络也无济于事。如此便可以对受害人的活动进行搜集并分析。换言之,在某个地方有人会精确知道受害人浏览、登录的网站以及输入的密码和卡号。

该恶意软件还有其他一些功能,能够帮助其在待机模式下运行。比如,最新的安卓版本可自动关闭闲置进程以达到省电的目的,但Skygofree可以通过定期发送系统通知绕开这一操作。而一些技术公司生产的智能手机,屏幕关闭时除了最爱名单外所有应用软件都会关闭,在该种情况下Skygofree会自动将自己加入最爱

该恶意软件还可以监测各种常见的应用软件,诸如Facebook Messenger、Skype、Viber和 WhatsApp。在后一种情况下,开发者再次显示出狡猾的一面——该木马病毒会通过访问服务(Accessibility Services)阅读WhatsApp信息。关于该工具是如何在视觉上或听觉上伤害用户的,我们已经进行过解释,而入侵者会利用该工具控制受感染的设备。它相当于一种”数字眼睛”,可以阅读屏幕上展示的任何内容,而Skygofree则是可以搜集来自WhatsApp的信息。使用访问服务需要用户许可,但该恶意软件会将权限请求隐藏在其他一些看似无害的请求后面。

最后,最重要的一点是,当用户解锁设备时Skygofree会偷偷打开前置摄像头并拍照——至于罪犯会如何利用这些照片就不得而知了。

不过这款创新性木马病毒的发明者也并未放弃其他的常规功能。Skygofree还可以拦截来电、SMS信息、日程表条目以及其他的用户资料。

我们在2017年底才发现了Skygofree,不过分析显示从2014年起攻击者就一直在利用该病毒,并不断进行改进。三年来Skygofree已经从一款非常简单的恶意软件演变成一个功能强大的、成熟的间谍软件。
该恶意软件是通过伪造的移动运营商网站进行传播的,在这些网站上Skygofree被伪装成了一个提高移动互联网速度的更新软件。如果用户被蒙蔽并下载了该木马病毒,就会出现一个通知称安装在进行中,然后在用户眼皮底下隐藏起来,并向命令服务器请求进一步指令。然后根据服务器回应下载各种各种各样的payloads——总之攻击者对于几乎所有场合都有应对方案。

有备无患

截至目前我们的云保护服务仅记录了少量感染案例,而且全部位于意大利。但这并不意味着其他国家的用户可以高枕无忧了;恶意软件传播者随时会更换受害目标。好消息是虽然这是一种高级别的木马病毒,但防御方案跟任何其他感染病毒是类似的:

1. 仅安装来自官方商店的应用软件。禁止安装第三方来源的应用软件绝对是明智之举,可以在智能手机设置中进行操作。

2. 不要下载可疑的软件。对于名称拼写有误的应用软件、下载量较小的软件或者可疑的权限请求,都要留意——任何这些迹象都是危险预警。

3. 安装可靠的安全解决方案——比如卡巴斯基安全软件安卓版。该解决方案可以帮助设备拦截多数恶意应用软件和文件、可疑网站以及危险链接。免费版必须手动进行扫描;付费版可以自动扫描。

4. 我们建议企业用户配置卡巴斯基安全软件移动版(企业网络安全解决方案的一种),对员工在工作中用到的电话和平板电脑进行保护。

HTTPS一定安全吗?

证书和绿色锁标记的存在意味着你和站点之间传输的数据是加密的,并且证书是由可信证书颁发机构颁发的。但是这并不能阻止HTTPS网站是恶意网站,这是网络钓鱼诈骗犯们运用最娴熟的伎俩。

提示

爱与隐私

个人空间的界限在恋爱关系中特别容易模糊。在本文中,我们将谈谈过度的”信息亲密度”可能导致的问题。