12/07/2019

FinSpy — komercyjne oprogramowanie szpiegowskie

Zagrożenia

Co się stanie, gdy oprogramowanie szpiegowskie zostanie utworzone nie przez programistów działających w podziemiu, lecz poważną firmę z obszaru IT? Może powstać coś tak okropnego jak program FinSpy (znany także jako FinFisher), który jest od dłuższego czasu sprzedawany legalnie przez angielsko-niemiecką firmę o nazwie Gamma Group. Na przestrzeni ostatniego roku wykryliśmy ten program szpiegowski na dziesiątkach urządzeń mobilnych.

Co robi FinSpy?

Chociaż istnieje wersja na komputery stacjonarne tego spyware (nie tylko dla systemu Windows, lecz również dla macOS oraz Linux), największe zagrożenie stwarza wersja dla urządzeń mobilnych: FinSpy może zostać zainstalowane zarówno w systemie iOS, jak i Android, a dla każdego z nich dostępny jest ten sam zestaw funkcji. Aplikacja daje atakującemu niemal całkowitą kontrolę nad danymi znajdującymi się na zainfekowanym urządzeniu.

Szkodliwy program może zostać skonfigurowany dla każdej ofiary indywidualnie, tak aby dostarczał osobom przeprowadzającym atak szczegółowe informacje na temat użytkownika, w tym jego listę kontaktów, historię połączeń, geolokalizację, wiadomości czy wydarzenia z kalendarze.

Ale to nie wszystko. FinSpy może nagrywać połączenia głosowe i realizowane poprzez technologię VoIP, jak również przechwytywać wiadomości natychmiastowe. Potrafi również podsłuchiwać wiele serwisów komunikacyjnych, np. WhatsApp, WeChat, Viber, Skype, Line, Telegram, jak również Signal i Threema. Oprócz wiadomości FinSpy uzyskuje dostęp do plików wysyłanych i odbieranych przez ofiary za pośrednictwem aplikacji do komunikacji, jak również dane na temat grup i kontaktów. Pozostałe szczegóły dotyczące FinSpy są dostępne w naszym serwisie Securelist.

Kto powinien obawiać się oprogramowania FinSpy

Infekcja szkodnikiem FinSpy wygląda tak samo jak w przypadku innych złośliwych programów. Najczęściej wystarczy kliknąć łącze w szkodliwej wiadomości e-mail lub tekstowej.

Zagrożeni tradycyjnie są właściciele urządzeń z systemem Android, a jeśli ich gadżety zostały poddane rootowaniu, szkodliwy program ma znacznie łatwiej. Jeśli jednak użytkownik nie posiada dostępu na poziomie roota, lecz na smartfonie ma zainstalowaną aplikację, która to umożliwia (tak się dzieje, gdy uprawnienia superużytkownika są wymagane do instalacji jakichś innych aplikacji), FinSpy może to wykorzystać. Nawet jeśli smartfon nie został zrootowany i nie jest na nim zainstalowana taka aplikacja, spyware może uzyskać uprawnienia roota przy użyciu exploita DirtyCow.

Z kolei użytkownicy urządzeń firmy Apple mają nieco łatwiej. Wersja tego programu dla systemu iOS wymaga przeprowadzenia jailbreaku systemu. Gdyby właściciel urządzenia iPhone/iPad zdecydował się na nią, urządzenie mogłoby zostać zainfekowane w ten sam sposób, jak w przypadku systemu Android. W przeciwnym razie atakujący musi uzyskać fizyczny dostęp do urządzenia, ręcznie przeprowadzić na nim jailbreak, a następnie zainstalować FinSpy.

Jak zabezpieczyć się przed FinSpy

Aby nie paść ofiarą programu szpiegowskiego FinSpy i jemu podobnych, warto przestrzegać standardowych zasad bezpieczeństwa:

  • Nie klikaj podejrzanych łączy w wiadomościach e-mail, komunikatorach ani wiadomościach tekstowych.
  • Nie próbuj uzyskać dostępu roota (Android) ani przeprowadzać jailbreaku (iOS) na urządzeniach, które mają dostęp do krytycznych danych.
  • Używaj niezawodnego rozwiązania zabezpieczającego, które potrafi wykrywać tego typu zagrożenia; właściciele iPhone’ów powinni pamiętać, że niestety nie ma takich rozwiązań dla systemu iOS (a tu napisaliśmy, dlaczego).