Исследователи "Лаборатории Касперского" обнаружили новое мощное шпионское ПО для Android-устройств. По мнению экспертов, программа была разработана итальянской IT-компанией, специализирующейся на продаже инструментов для слежения.
Основываясь на одном из доменных имен, использованных в его инфраструктуре, исследователи назвали вредонос Skygofree. Инструмент используется с 2014 года, однако пик его активности пришелся на 2016 год.
Все обнаруженные ЛК кампании по распространению Skygofree проводились исключительно в Италии, а его жертвами стали только итальянские пользователи. Код вредоноса содержит множество строк и комментариев на итальянском языке, из чего можно сделать вывод, что Skygofree был специально создан для атак исключительно на итальянских пользователей.
Исследователи также обнаружили в строках слово "negg". Negg International – итальянская IT-компания, предлагающая целый ряд услуг, в том числе разработку мобильных и web-приложений. ЛК не стала официально объявлять ее автором Skygofree, однако целый ряд фактов свидетельствует в пользу этой теории. Не исключено, что эксперты ЛК наткнулись на инструмент, разработанный Negg International по заказу итальянских правоохранительных органов для поимки преступников в рамках официальных расследований.
По словам исследователей, Skygofree является одним из самых мощных инструментов для ОС Android, с которыми им когда-либо приходилось сталкиваться. ПО обладает исключительными возможностями, такими как получение прав суперпользователя с помощью нескольких эксплоитов, сложная структура полезной нагрузки, а также нигде ранее не встречавшаяся функция записи звука в заранее определенных местах.
Исследователи также выявили файлы, судя по которым, Skygofree может иметь полезную нагрузку или варианты для инфицирования Linux (Busybox) и Windows. Тем не менее, атаки с их применением обнаружены не были.