DAN DEMETER, KASPERSKY LAB:"«Skygofree» preia total controlul asupra telefonului android"

Ancuţa Stanciu
Ziarul BURSA #Companii / 5 februarie 2018

"«Skygofree» preia total controlul asupra telefonului android"

"Este posibil să mai existe încă 10 programe ca «Skygofree» în acest moment"

"Utilizatorii de telefoane să descarce aplicaţii doar din surse sigure: Google Play Store, Apple Store"

"WhatsApp nu este cea mai bună aplicaţie de vorbit în siguranţă"

Telefoanele Apple sunt mai sigure, din punct de vedere al riscului infectării cu viruşi, decât telefoanele android, deoarece sistemul de operare IOS nu lasă utilizatorii să instaleze aplicaţii din orice sursă, potrivit lui Dan Demeter, cercetător de securitate IT în cadrul echipei globale de cercetare a Kaspersky Lab.

La jumătatea anului trecut, specialiştii Kaspersky Lab au descoperit un program sofisticat pentru dispozitive mobile - denumit "Skygofree", care spionează utilizatorii de android, fără să trezească suspiciuni, oferind atacatorilor control total de la distanţă asupra unui dispozitiv infectat.

Dan Demeter declară: "Utilizatorii de telefoane să descarce aplicaţii doar din surse sigure: Google Play Store, Apple Store.

Nu am observat viruşi din familia Skygofree pe telefoanele Apple, deoarece până în acest moment atacatorii nu şi-au îndreptat atenţia către această platformă.

Oamenii preferă câteodată să descarce aplicaţii de pe alte site-uri, nesecurizate, pentru că sunt gratis. Am găsit, însă, foarte multe cazuri în care, de fapt, acele aplicaţii «gratis» aveau ascunse alte aplicaţii care ori trimiteau SMS pentru numere cu suprataxă, ori începeau să copieze date din telefon".

Analiştii Kaspersky Lab afirmă că malware-ul complex pentru dispozitive mobile este foarte dificil de identificat şi blocat, iar creatorii Skygofree au folosit acest lucru în avantajul lor, creând şi dezvoltând un program prin care să poată spiona victimele fără a trezi suspiciuni.

Dan Demeter menţionează: "În cadrul echipei noastre de research and development (R&D) avem sisteme automate care scanează şi care încearcă să găsească similarităţi între viruşii cunoscuţi şi viruşii noi. «Skygofree» este numele dat de noi, după ce am găsit această referinţă direct în malware. Campania care se folosea de aceste programe malware era prezentă din 2014, iar colegii mei de la R&D, care se ocupă de malware-ul de android, l-au detectat pe la mijlocul anului trecut.

Din 2014 şi până în 2017 au fost mai multe versiuni ale acestui virus.

În 2014 era o variantă mai simplă, care nu avea foarte multe capabilităţi, doar înregistrare ambientală, fără ca tu să ştii, şi transmiterea fişierelor din telefon către atacatori. Ulterior, în versiunile îmbunătăţite, «Skygofree» putea avea control total asupra dispozitivului".

Specialistul Kaspersky Lab susţine că aplicaţia iniţială "Skygofree", în jurul anului 2014, cerea acceptul utilizatorului să fie instalată pe telefon printr-o notificare menită să înşele utilizatorul. De asemenea, ea era distribuită folosindu-se de site-uri identice cu cele de la companiile de telefonie mobilă, prin care anunţau victimele că a fost detectată o viteză de navigare pe internet foarte scăzută şi că, dacă descarcă aplicaţia (malware), viteza va creşte/va reveni la normal.

"Ne-am dat seama că aceste mesaje către site-urile false erau trimise targetat, pentru ca am găsit foarte puţine victime. Probabil site-urile erau create special pentru fiecare persoană în parte.

În versiunea «Skygofree» din 2016, creatorii acestui program au făcut un update prin care puteau să intercepteze şi mesajele WhatsApp. WhatsApp nu este cea mai bună aplicaţie de vorbit în siguranţă. E bună, dar nu e cea mai bună. Eu recomand Threema sau Signal.

De vreo 2 ani, mesajele WhatsApp sunt criptate, adică dezvoltatorii aplicaţiei sau potenţialii intruşi care monitorizează reţeaua prin care se transmit mesajele pot vedea că ele s-au transmis, dar nu pot citi conţinutul lor.

Aplicaţia de la Facebook nu pune deloc accent pe confidenţialitate, ea criptând doar conexiunea cu serverul. În viitorul apropiat, dezvoltatorii Facebook vor să introducă şi criptarea end-to-end. Specialiştii de la Facebook pot să vadă de pe server tot ce vorbeşti pe mesaje, iar poliţia poate să ceară chat-urile de acum 5 ani.

În 2017, «Skygofree» putea să preia controlul asupra telefonului mult mai uşor decât în 2014, evoluând cu mai multe capabilităţi: putea să citească mesajele de WhatsApp, de Facebook, email-urile de Gmail. De asemenea, programul avea opţiunea să înregistreze, să facă poze imediat după ce telefonul era deblocat.

Skygofree includea o funcţie nemaiîntâlnită, aceea de înregistrare audio pe baza geolocaţiei victimelor, prin intermediul dispozitivelor infectate.

De obicei, scopul unui malware este sustragerea unor sume de bani de la victime, dar eu cred că «Skygofree» a fost creat pentru monitorizarea totală a utilizatorului. Cred că «infractorii» ştiau exact cui dau acces la aplicaţie".

Echipa Kaspersky Lab a detectat sub 100 de victime «Skygofree», doar în Italia.

Dan Demeter ne-a explicat: "Nu ştim cine a creat acest malware. În general, este foarte greu să atribui cuiva astfel de programe, deoarece creatorii lor se ascund foarte bine.

De asemenea, nu ştim cine sunt victimele, ci am descoperit doar dispozitivele infectate. Nu ştim cui aparţin acestea şi nici nu ne interesează.

Proprietarul acelui dispozitiv a fost anunţat prin detecţiile pe care noi le-am implementat. De asemenea, am făcut publice informaţiile despre «Skygofree». Există situaţii în care autorităţile sunt informate cu privire la astfel de atacuri, iar legiuitorul poate merge la operatorul telecom şi poate să vadă, teoretic, cui aparţine dispozitivul.

Cam aşa funcţionează, în general, relaţia noastră cu autorităţile: noi le punem la dispoziţie informaţiile pe care le avem, iar ei continuă mai departe pe partea legală. Avem semnate nişte acorduri la nivel european - Interpol, Europol şi câteodată chiar cu fiecare ţară în parte. Iar autorităţile ne consideră de aceeaşi parte a baricadei".

"Oamenii nu sunt conştienţi de pericole, instalează orice, deschid orice"

Mulţi utilizatori nu au o soluţie de securitate instalată pe telefon şi nu poţi şti dacă aparatul este infectat sau nu, cu ce este infectat sau câţi viruşi are în el, susţine Dan Demeter, adăugând: "Noi am descoperit «Skygofree» în telefoanele clienţilor noştri şi am creat un antidot pentru el. Este posibil să mai existe încă 10 programe ca «Skygofree» în acest moment, dar de care nu am aflat, pentru că, probabil, sunt în dispozitive ale unor oameni care nu au produsul nostru instalat.

E adevărat că noi căutăm şi pe internet, în sine, după astfel de viruşi, avem roboţi care aşteaptă să fie infectaţi. Nu ne bazăm doar pe clienţii noştri. Dar se poate întâmpla ca dispozitivele oamenilor să fie infectate fără să se ştie, pentru că aceştia nu sunt conştienţi de pericole, instalează orice, deschid orice.

Zilnic, noi căutăm programe malware. 90% dintre ele sunt comune şi răspândite în miliarde de mostre. Acestea sunt procesate de noi prin sisteme automate.

Celelalte 10% sunt mai «interesante», iar sistemul le separă de restul, pentru că nu au putut fi clasificate. În acest punct al căutării, apar analiştii noştri, care încep să caute. Din cele 10%, mai există un 0,1% programe, din care face parte şi «Skygofree», care sunt făcute în mod clar pentru spionaj, distrugere sau sabotaj".

Alexey Firsh, Malware Analyst, Targeted Attacks Research la Kaspersky Lab, spune: "Ţinând cont de artefactele pe care le-am descoperit în codul acestui malware şi de analiza infrastructurii, avem motive întemeiate să credem că dezvoltatorul Skygofree este o companie IT din Italia care oferă soluţii de supraveghere, în genul HackingTeam".

HackingTeam este o firmă care făcea softuri semi-legale de monitorizare a unor dispozitive. În 2015, baza de date a HackingTeam a fost la rândul ei spartă şi unele informaţii au apărut pe internet, circa 400 Gb de informaţii secrete.

Dan Demeter explică: "HackingTeam cumpăra breşe de securitate în anumite părţi ale codului, ale sistemului de operare, ale telefoanelor. Specialiştii de acolo foloseau aceste vulnerabilităţi ca să creeze aplicaţii prin care accesau neautorizat telefoane, laptopuri, tablete etc., apoi le împachetau în programe ofensive pe care le vindeau. Este cunoscut faptul că HackingTeam a vândut astfel de programe către alte state".

Pe lângă instituţiile de aplicare a legii din ţări ca Australia, Coreea de Sud şi Statele Unite, pe lista clienţilor HackingTeam se regăseau, potrivit presei, şi state precum Rusia, Turcia, Sudan, Nigeria, Mexic sau Azerbaijan, dar şi Cipru, Cehia, Ungaria, Luxemburg, Polonia şi Spania.

Conform unor documente apărute în mediul online, se pare că, în 2014-2015, a intrat şi fratele lui Sebastian Ghiţă în contact cu ei.

Pe scurt

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Conferinţa “Energia 2022”
Apanova
BTPay
Electromagnetica
arsc.ro

Curs valutar BNR

07 Oct. 2022
Euro (EUR)Euro4.9410
Dolar SUA (USD)Dolar SUA5.0408
Franc elveţian (CHF)Franc elveţian5.0873
Liră sterlină (GBP)Liră sterlină5.6488
Gram de aur (XAU)Gram de aur277.3997

convertor valutar

»=
?

mai multe cotaţii valutare

solarenergy-expo.ro
Cotaţii Emitenţi BVB
Bursele din regiune
cnipmmr.ro
Cotaţii fonduri mutuale
Teatrul Național I. L. Caragiale Bucuresti
thediplomat.ro
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.rowww.dreptonline.rowww.hipo.ro