Skygofree, le spyware qui affecte les systèmes Android

Skygofree est un spyware Android. Les chercheurs de SecureList ont retracé l'activité de ce dernier jusqu'en 2014. Ils précisent que le spyware était particulièrement actif en 2015. Le spyware est toujours d'actualité étant donné qu'un nom de domaine utilisé pour sa diffusion a été enregistré en octobre dernier. D'après leurs statistiques, seuls des utilisateurs italiens sont infectés. 

Le logiciel malveillant permet de prendre le contrôle à distance du smartphone et notamment d'enregistrer de l'audio via le microphone lorsqu'un périphérique infecté se trouve dans un emplacement spécifié et permettre au périphérique de se connecter aux réseaux Wi-Fi gérés par le pirate.

Skygofree a été diffusé au moyen de fausses pages Web qui simulent celles des principaux opérateurs de réseaux mobiles. Une fois installé, il affiche une fausse alerte de bienvenue à la victime: "Cher client, nous mettons à jour votre configuration et elle sera prête le plus rapidement possible." En même temps, il cache une icône et lance des services en arrière-plan pour masquer les autres opérations.

A la suite d'un certain nombre d'opérations, après le téléchargement de la charge, le module principal exécute le fichier binaire de l'exploit. Une fois exécuté, le module tente d'obtenir les privilèges root sur le périphérique en exploitant les vulnérabilités suivantes:

  • CVE-2013-2094 
  • CVE-2013-2595 
  • CVE-2013-6282 
  • CVE-2014-3153 (futex alias TowelRoot) 
  • CVE-2015-3636

Certaines versions de Skygofree disposent d'une capacité d'autoprotection exclusivement pour les appareils Huawei. Il y a une liste d'applications protégées dans les smartphones de cette marque pour des raisons d'économie de batterie. Les applications non sélectionnées en tant qu'applications protégées cessent de fonctionner une fois l'écran éteint et attendent d'être réactivées. Ainsi, le spyware peut déterminer qu'il fonctionne sur un appareil Huawei et s'ajoute à cette liste. 

Après un examen approfondi, certaines versions du code de la charge utile de reverse shell partagent des similarités avec celui de PRISM, une porte dérobée de reverse shell disponible sur Github .