Theo thông tin mới nhất vừa phát hành hôm 16/01/2018,
các nhà nghiên cứu bảo mật đã phát hiện ra một nền tảng gián điệp Android mới
có tên gọi là Skygofree là một trong những nền tảng gián điệp mạnh mẽ nhất từng
được tạo ra trên Android với 05 cách khai thác lỗ hổng riêng biệt (CVE-2013-2094, CVE-2013-2595,
CVE-2013-6282, CVE-2014-3153, CVE-2015-3636) để chiếm quyền root hệ thống,
Skygofree trang bị 48 câu mã lệnh khác nhau và dễ dàng qua mặt các biện pháp
bảo mật của Android. Có thể nói Skygofree tích hợp ghép những công cụ spyware mạnh nhất từ trươc
đến nay trên nền tảng Android.
(Phiên bản Skygofree qua các giai đoạn)
Skygofree đươc phát hiện lần đầu vào năm 2014, sau ba
năm cải tiến liên tục giúp Skygofree trở thành công cụ do thám hoàn hảo hơn bao
giờ hết. Skygofree thường lây nhiễm qua các trang web giả danh nhà mạng di
động, trang web các Công ty phát triển ứng dụng di động và web. Dữ liệu phân
tích cho thấy mã độc này đã lây nhiễm vào nhiều thiết bị tại Italy.
Skygofree có khả năng chụp ảnh, chụp video và ghi âm
cuộc gọi, tin nhắn văn bản, dữ liệu địa lý, sự kiện trên lịch, và các thông tin
liên quan đến kinh doanh được lưu trữ trong bộ nhớ thiết bị, đăc biệt với khả
năng tự động ghi lại cuộc trò chuyện và tiếng ồn khi một thiết bị bị lây nhiễm
đi vào một địa điểm cụ thể được quyết định bởi kẻ điều hành malware. Một tính
năng mà chưa từng được thấy trước đó nữa là khả năng ăn cắp tin nhắn WhatsApp
bằng cách lạm dụng Dịch vụ trợ năng của Android, ứng dụng được thiết kế để giúp
cho những người dùng bị khuyết tật hoặc những người tạm thời không thể tương
tác hoàn toàn với các thiết bị. Tính năng mới nữa là malware này là khả năng
kết nối thiết bị bị lây nhiễm vào mạng Wi-fi bị kiểm soát bởi kẻ tấn công, nó
có thể tạo một kết nối Wifi mới và buộc điện thoại của người dùng kết nối với
nó.
Skygofree cũng bao gồm một số chức năng tiên tiến khác
như: ứng dụng đảo ngược giúp cho kẻ tấn công điều hành malware có khả năng điều
khiển và kiểm soát thiết bị bị lây nhiễm tốt hơn (Skygofree có thể được điều
khiển thông qua giao thức HTTP, XMPP, SMS nhị phân, và FirebaseCloudMessagin).
Phần mềm độc hại này cũng đi kèm với một loạt các tính năng khác như keylogger,
thu lại những văn bản được gõ trên thiết bị, hay một cơ chế ghi âm lại các cuộc
trò chuyện trên Skype
Skygofree có nhiều nét tương đồng với Pegasus, mã độc
lây nhiễm trên Android và iOS được phát hiện tháng 8/2016 (Pegasus vốn là công
cụ do thám đầy đủ tính năng do công ty NSO Group của Israel phát triển. Pegasus
có thể ghi tác vụ bàn phím, chụp ảnh màn hình, ghi âm và video trực tiếp, điều
khiển từ xa qua tin nhắn SMS, trích xuất dữ liệu từ các ứng dụng hay dùng như
WhatsApp, Skype, Facebook, Twitter và Viber) bên cạnh đó Skygofree có vô số khả
năng đặc biệt nhưng vẫn giữ được bí mật khi đang hoạt động.
Qua phân tích mã nguồn Skygofree, các nhà nghiên cứu
bảo mật tìm thấy dấu vết dẫn tới tên miền h3g.co được công ty CNTT của Italia
là Negg International đăng ký. Ngoài ra mã độc còn được thiết kế tương thích
lây nhiễm cho Windows với khả năng ghi tác vụ bàn phím (keylogger) và cơ chế
ghi âm hội thoại Skype, nhưng đến nay chưa thấy báo cáo trường hợp lây nhiễm
nào của Windows.
Một số mẫu Skyfofree đang lây
nhiễm mạnh:
39fca709b416d8da592de3a3f714dce8
3f0e8a3ad9fab04377b8e9a57a26f972
d574d0049f797611589803643a8aa3c3
a287a434a0d40833d3ebf5808950b858
Bài phân tich kỹ thuật toàn diện
của Skyfofree Android Malware:
https://securelist.com/skygofree-following-in-the-footsteps-of-hackingteam/83603/