Лаборатория Касперского» обнаружила новую версию программы-шпиона FinSpy, которая может наблюдать практически за всеми действиями пользователя на мобильном устройстве, в том числе читать обычные и секретные чаты в даже защищенных мессенджерах, говорится в сообщении компании.
FinSpy – это программа-шпион немецкой компании Gamma Group. Через свою расположенную в Великобритании дочернюю компанию, Gamma International, она занимается продажами своего шпионского ПО правительствам и силовым структурам по всему миру, сообщается в блоге «Лаборатории Касперского».
FinSpy используется для сбора пользовательских данных как на персональных компьютерах, так и на мобильных устройствах. Впервые импланты FinSpy для персональных компьютеров были описаны в утечке Wikileaks в 2011 году, а мобильные импланты были обнаружены годом позднее. Согласно данным «Лаборатория Касперского», за последний год было заражено несколько десятков уникальных мобильных устройств, а последние на текущий момент случаи активности были зафиксированы в Мьянме в июне 2019.
Существует версия FinSpy и для компьютеров на базе ОС Windows, macOS и Linux. Но эксперты предупреждают об опасности для мобильных устройств: FinSpy может быть установлена как на iOS, так и на Android, при этом для каждой платформы доступен одинаковый набор функций — приложение предоставляет атакующему практически полный контроль над зараженным устройством.
Конфигурация зловреда может быть настроена индивидуально для каждой жертвы, и таким образом организатор атаки может получить подробнейшую информацию о пользователе, его список контактов, историю звонков, геолокацию, текстовые сообщения, мероприятия из календаря и так далее.
FinSpy умеет также записывать голосовые и VoIP-звонки, перехватывать сообщения из мессенджеров. Шпион умеет «прослушивать» множество мессенджеров — WhatsApp, WeChat, Viber, Skype, Line, Telegram, а также Signal и Threema. Помимо сообщений FinSpy извлекает из мессенджеров переданные и полученные жертвой файлы, а также данные о группах, контактах и так далее.
Имплант FinSpy для iOS может наблюдать за практически всеми действиями, совершаемыми на устройстве, включая запись звонков VoIP через установленные приложения, например, Skype или WhatsApp, сообщается в блоге Securelist. Более того, в списке приложений, информацию из которых может извлекать данный имплант, находятся такие защищенные мессенджеры, как Threema, Signal и Telegram.
Однако для доступа к защищенным данным используется фреймворк Cydia Substrate, т.е. имплант может быть установлен только на iPhone или iPad с джейлбрейком и iOS версии 11 и ниже. Существование версии для iPod не подтверждено, также не подтверждены более новые версии ОС, поскольку на момент исследования импланты для iOS 12 еще не были замечены. После полного развертывания импланта FinSpy на смартфоне или планшете, шпионское ПО обеспечивает атакующего практически безграничными возможностями по отслеживанию работы устройства.
По всей видимости FinSpy для iOS не предоставляет своим клиентам инструменты для заражения устройств, поскольку он специально настроен на удаление из системы следов работы общедоступных инструментов для джейлбрейка. Таким образом, единственный способ установить FinSpy для iOS на не взломанное устройство – получить физический доступ к смартфону или планшету цели. Тогда как для устройств с джейлбрейком существует, как минимум, три возможных вектора заражения: входящее SMS-сообщение; электронная почта; WAP Push.
Имплант Android имеет функциональность, аналогичную версии для iOS, но он также способен получать права суперпользователя на нерутированном устройстве, используя эксплойт DirtyCow, содержащийся в самом импланте. Образцы Android имплантов FinSpy известны уже несколько лет.
Как и в случае с имплантом для iOS, версию для Android можно установить вручную, если злоумышленник имеет физический доступ к устройству, а также с помощью векторов удаленного заражения: SMS-сообщений, электронной почты или WAP Push. Имплант обеспечивает доступ к такой информации, как контакты, SMS / MMS-сообщения, календари, местоположение GPS, изображения, файлы в памяти и записи телефонных звонков.
Все отфильтрованные данные передаются злоумышленнику с помощью SMS-сообщений или через Интернет (местоположение сервера C2 хранится в файле конфигурации). Персональные данные, в том числе контакты, сообщения, аудио и видео, также извлекаются из самых популярных мессенджеров. Каждый из целевых мессенджеров имеет свой собственный модуль обработки, однако API вызовов к данным модулям унифицировано, что позволит в случае необходимости добавлять новые обработчики для других мессенджеров.
Разнообразие доступных настроек позволяет адаптировать поведение импланта для каждой жертвы. Например, операторы могут выбирать предпочтительные каналы связи или автоматически отключать передачу данных, когда жертва находится в режиме роуминга. Все данные конфигурации для зараженного устройства Android (включая адрес сервера управления) встроены в имплант заранее для использования при развертывании на устройстве, но некоторые параметры могут быть изменены оператором удаленно.
Как защититься от программы-шпиона FinSpy
Чтобы не стать жертвой FinSpy и подобных шпионских программ, эксперты призывают следовать стандартным рекомендациям:
- Не переходите по подозрительным ссылкам из писем, сообщений в мессенджерах и SMS.
- Не стоит получать рут-права в Android (или делать джейлбрейк в iOS) на устройствах, имеющих доступ к критически важным данным.
- Используйте надежное защитное решение, умеющее выявлять данный тип угроз. Владельцам айфонов следует иметь в виду, что для iOS такой защиты не бывает