{"id":15645,"date":"2018-01-16T12:30:35","date_gmt":"2018-01-16T10:30:35","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=15645"},"modified":"2019-11-22T12:18:50","modified_gmt":"2019-11-22T10:18:50","slug":"skygofree-hochentwickelte-spyware-seit-2014-aktiv","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/skygofree-hochentwickelte-spyware-seit-2014-aktiv\/15645\/","title":{"rendered":"Skygofree \u2013 hochentwickelte Spyware seit 2014 aktiv"},"content":{"rendered":"<p>Experten von Kaspersky Lab haben mit der Spyware \u201aSkygofree\u2018 ein sehr\u00a0 fortschrittliches\u00a0 mobiles Implantat entdeckt. Die Android-Spionage-Malware ist seit dem Jahr 2014 aktiv und wurde f\u00fcr zielgerichtete Cyber\u00fcberwachung entwickelt, m\u00f6glicherweise auch f\u00fcr offensive Cyberoperationen. Zu den fortschrittlichen Funktionen von Skygofree z\u00e4hlt beispielsweise die M\u00f6glichkeit, standortbasierte Audioaufnahmen \u00fcber infizierte Ger\u00e4te zu machen. Die Spyware wird \u00fcber Internetseiten, die Seiten f\u00fchrender Mobilfunknetzbetreiber imitieren sollen, verbreitet.<\/p>\n<p>Skygofree ist eine hochentwickelte, mehrstufige Spyware, die Angreifern die vollst\u00e4ndige Fernsteuerung eines infizierten Ger\u00e4ts erm\u00f6glicht. Das Spionageprogramm wurde kontinuierlich weiterentwickelt, seit die erste Version Ende des Jahres 2014 erstellt wurde und nun die M\u00f6glichkeit bietet, umliegende Gespr\u00e4che und Ger\u00e4usche zu belauschen, wenn ein infiziertes Ger\u00e4t an einen bestimmten Ort gelangt. Weitere fortschrittliche Funktionen sind die Verwendung von Zugangsdiensten zum Diebstahl von WhatsApp-Nachrichten und die M\u00f6glichkeit, ein infiziertes Ger\u00e4t mit von den Angreifern kontrollierten WLAN-Netzwerken zu verbinden.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>#Kaspersky Lab entdeckt hochentwickelte #Spyware #Skygofree, die seit 2014 aktiv ist.<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2Fv3v5&amp;text=%23Kaspersky+Lab+entdeckt+hochentwickelte+%23Spyware+%23Skygofree%2C+die+seit+2014+aktiv+ist.+\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Das Implantat verf\u00fcgt \u00fcber mehrere Exploits f\u00fcr den Root-Zugriff und ist auch in der Lage, Bilder und Videos aufzunehmen sowie Anruferlisten, SMS-Nachrichten, Standortlokalisierung, Kalenderereignisse und gesch\u00e4ftsbezogene Informationen, die sich im Ger\u00e4tespeicher befinden, zu erfassen. Eine Besonderheit ist zudem, dass der Sch\u00e4dling den bei f\u00fchrenden Ger\u00e4teherstellern eingebauten Batteriesparmodus umgehen kann: Das Implantat f\u00fcgt sich automatisch in die Liste der ,gesch\u00fctzten Apps\u2018 ein, so dass es bei ausgeschaltetem Bildschirm nicht automatisch beendet wird und weiterlaufen kann.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-15647\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2018\/01\/16122749\/Kaspersky_Bild_Skygofree_Exploitation_process.jpg\" alt=\"\" width=\"559\" height=\"505\"><\/p>\n<p>Die Kaspersky-Experten fanden 48 verschiedene Befehle, die von Angreifern implementiert werden k\u00f6nnen, was ihnen maximale Flexibilit\u00e4t erm\u00f6glicht.<\/p>\n<p>In erster Linie zielt Skygofree auf Android ab. Die Angreifer scheinen allerdings auch ein Interesse an Windows-Nutzern zu haben. So fanden die Experten von Kaspersky Lab eine Reihe k\u00fcrzlich f\u00fcr Windows entwickelter Module.<\/p>\n<p><strong> Ursprung von Skygofree liegt wahrscheinlich in Italien<\/strong><\/p>\n<p>Die meisten f\u00fcr die Verbreitung des Implantats verwendeten gef\u00e4lschten Landingpages wurden im Jahr 2015 registriert, als laut den telemetrischen Daten von Kaspersky Lab die Verbreitungskampagne am aktivsten war. Die Kampagne ist noch aktiv, die letzte Domain wurde im Oktober 2017 registriert. Laut den Daten von Kaspersky Lab\u00a0 gab es bis heute mehrere Opfer in Italien.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-15648\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2018\/01\/16122808\/Kaspersky_Bild_Landing_web_pages_that_mimic_the_Vodafone_and_Three_mobile_operator_sites.jpg\" alt=\"\" width=\"532\" height=\"764\"><br>\n\u201eFortschrittliche mobile Malware ist sehr schwer zu identifizieren und zu blockieren; das haben die Entwickler von Skygofree eindeutig zu ihrem Vorteil genutzt, indem sie ein Implantat erschaffen und entwickelt haben, das Ziele intensiv ausspionieren kann, ohne Verdacht zu erregen\u201c, sagt Alexey Firsh, Malware Analyst, Targeted Attacks Research, bei Kaspersky Lab. \u201eAngesichts der Artefakte, die wir im Malware-Code und bei unserer Analyse der Infrastruktur entdeckt haben, gehen wir stark davon aus, dass sich hinter dem Entwickler der Skygofree-Implantate ein italienisches IT-Unternehmen verbirgt, das \u00dcberwachungsl\u00f6sungen anbietet, \u00e4hnlich wie das HackingTeam.\u201c<\/p>\n<p><strong> Kaspersky Lab: Mobile Security st\u00e4rken<\/strong><\/p>\n<p>Kaspersky Lab empfiehlt folgende Sicherheitsma\u00dfnahmen, um sich vor fortschrittlicher mobiler Malware zu sch\u00fctzen:<br>\n\u2022\u00a0\u00a0\u00a0 Auf allen\u00a0 mobilen Endger\u00e4ten sollte eine zuverl\u00e4ssige Sicherheitsl\u00f6sung installiert sein \u2013 wie die Unternehmensl\u00f6sung Kaspersky Security for Mobile \u2013, die mobile Bedrohungen erkennt und blockiert.<br>\n\u2022\u00a0\u00a0\u00a0 Bei E-Mails von unbekannten Personen oder Organisationen mit unerwarteten Anfragen oder Anh\u00e4ngen sollte Vorsicht geboten sein.<br>\n\u2022\u00a0\u00a0\u00a0 Bevor auf Links geklickt wird, sollten Webseiten auf Integrit\u00e4t und Ursprung \u00fcberpr\u00fcft werden. Im Zweifelsfall kann der Service Provider kontaktiert werden.<br>\n\u2022\u00a0\u00a0\u00a0 Systemadministratoren sollten die Application-Control-Funktionalit\u00e4t in ihren mobilen Sicherheitsl\u00f6sungen aktivieren, um potenziell gef\u00e4hrliche Programme zu kontrollieren, die f\u00fcr solche Angriffe anf\u00e4llig sind.<\/p>\n<p>Kaspersky Lab entdeckt die Versionen von Skygofree f\u00fcr Android unter der Bezeichnung ,HEUR:Trojan.AndroidOS.Skygofree.a\u2018 und \u201aHEUR:Trojan.AndroidOS.Skygofree.b\u2018 sowie die Windows-Samples unter ,UDS:DangerousObject.Multi.Generic\u2018.<\/p>\n<p>Weitere Informationen, einschlie\u00dflich einer Liste der Skygofree-Befehle, Kompromittierungsindikatoren, Domainadressen und die Ger\u00e4temodelle, auf die Exploit-Module des Implantats abzielen, sind unter <a href=\"https:\/\/securelist.com\/skygofree-following-in-the-footsteps-of-hackingteam\/83603\/\" target=\"_blank\" rel=\"noopener\">https:\/\/securelist.com\/skygofree-following-in-the-footsteps-of-hackingteam\/83603\/<\/a> zu finden.<\/p>\n<p>*Der Name \u201aSkygofree\u2018 wurde in einer Domain der Malware verwendet, weshalb diese danach benannt wurde. Die Malware hat nichts mit dem gleichnamigen Service \u201aSky\u2018 oder \u201aSky Go\u2018 zu tun und hat auch keinerlei Auswirkungen auf den Service oder der App.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Experten von Kaspersky Lab haben mit der Spyware \u201aSkygofree\u2018 ein sehr\u00a0 fortschrittliches\u00a0 mobiles Implantat entdeckt. Die Android-Spionage-Malware ist seit dem Jahr 2014 aktiv und wurde f\u00fcr zielgerichtete Cyber\u00fcberwachung entwickelt, m\u00f6glicherweise<\/p>\n","protected":false},"author":19,"featured_media":15646,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711],"tags":[55,1073,1650,2847,337,1072],"class_list":{"0":"post-15645","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-android","9":"tag-hackingteam","10":"tag-malware","11":"tag-skygofree","12":"tag-spionage","13":"tag-spyware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/skygofree-hochentwickelte-spyware-seit-2014-aktiv\/15645\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/spyware\/","name":"Spyware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15645","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/19"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=15645"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15645\/revisions"}],"predecessor-version":[{"id":21010,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/15645\/revisions\/21010"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/15646"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=15645"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=15645"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=15645"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}