FinSpy: najlepsze narzędzie szpiegowskie

Oprogramowanie szpiegujące FinSpy atakuje użytkowników systemów Android, iOS, macOS, Windows i Linux. Co potrafi i jak się przed nim zabezpieczyć?

Na ostatnim wydarzeniu Security Analyst Summit nasi eksperci przedstawili szczegółowy raport na temat oprogramowania szpiegującego FinSpy (znanego również pod nazwą FinFisher) i jego metod dystrybucji, w tym niektórych wcześniej nieznanych. Więcej informacji na temat tego, co odkryli, znajduje się w poście opublikowanym przez nas w serwisie Securelist. Jakiego rodzaju szkodliwym oprogramowaniem jest FinSpy i jak możemy się przed nim ochronić?

Co to jest FinSpy?

FinSpy to komercyjny program szpiegowski używany przez organy ścigania i agencje rządowe na całym świecie. Uwagę badaczy przyciągnął po raz pierwszy w 2011 roku, kiedy w portalu WikiLeaks pojawiły się związane z nim dokumenty. Jego kod źródłowy został udostępniony w internecie w 2014 roku, ale na tym historia FinSpy się nie skończyła: to szkodliwe oprogramowanie zostało przeprojektowane i nadal infekuje urządzenia na całym świecie.

FinSpy jest wszechstronny: występuje w wersji dla komputerów z systemem Windows, macOS i Linux, a także dla urządzeń mobilnych z Androidem i iOS. Jego możliwości różnią się w zależności od platformy, ale we wszystkich przypadkach wykorzystuje on różne sposoby potajemnego przesyłania danych do swoich operatorów.

Jak rozprzestrzenia się FinSpy?

Opisywany program potrafi przeniknąć do komputerów z systemem Windows na kilka sposobów.

Na przykład może ukrywać się w zainfekowanych pakietach dystrybucyjnych, w tym instalatorach takich programów jak TeamViewer, VLC Media Player czy WinRAR. Pobranie i uruchomienie zmodyfikowanej aplikacji uruchamia wieloetapowy łańcuch infekcji.

Ponadto nasi badacze znaleźli program ładujący to szkodliwe oprogramowanie w komponentach, które uruchamiają się przed systemem operacyjnym: UEFI (Unified Extensible Firmware Interface, interfejs, za pośrednictwem którego system operacyjny komunikuje się ze sprzętem) i MBR (Master Boot Record, potrzebny do uruchomienia systemu Windows). Mówiąc w skrócie, FinSpy jest instalowany podczas uruchamiania komputera.

Jeśli chodzi o smartfony i tablety, FinSpy może się na nie przedostać poprzez kliknięcie łącza umieszczonego w wiadomości tekstowej. W niektórych przypadkach (na przykład jeśli iPhone ofiary nie został poddany jailbreakowi) atakujący może potrzebować fizycznego dostępu do urządzenia, co nieco komplikuje zadanie. Wydaje się również, że fizyczny dostęp jest konieczny, aby atakujący zainfekowali komputery z systemem Linux, jednak nie jest to jeszcze pewne.

Jakie dane kradnie FinSpy?

FinSpy ma szerokie możliwości w podglądaniu użytkownika. Na przykład jego wersja na komputery PC potrafi:

  • włączać mikrofon, nagrywać i przesyłać wszystkie dźwięki otoczenia,
  • rejestrować i przesyłać w czasie rzeczywistym wszystko, co użytkownik wpisuje na klawiaturze,
  • włączać kamerę, nagrywać i przesyłać z niej obraz,
  • kraść pliki, które użytkownik modyfikuje, drukuje, odbiera, usuwa, a także do których uzyskuje dostęp itp.,
  • wykonywać zrzuty ekranu lub przechwytywać fragment ekranu kliknięty przez użytkownika,
  • kraść wiadomości e-mail z klientów: Thunderbird, Outlook, Apple Mail i Icedove,
  • przechwytywać kontakty, czaty, połączenia i pliki w programie Skypie.

Ponadto wersja FinSpy dla systemu Windows może podsłuchiwać połączenia VoIP, przechwytywać certyfikaty i klucze szyfrowania dla niektórych protokołów oraz pobierać i uruchamiać narzędzia do zbierania danych kryminalistycznych. Co więcej, wersja FinSpy dla systemu Windows może infekować smartfony BlackBerry, więc na celowniku jest nawet ta egzotyczna platforma.

Jeśli chodzi o mobilne wersje programu FinSpy, mogą one podsłuchiwać i nagrywać połączenia (głosowe lub VoIP), odczytywać wiadomości tekstowe i monitorować aktywność użytkowników w aplikacjach do obsługi wiadomości błyskawicznych, takich jak WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal i Threema. To mobilne oprogramowanie szpiegujące wysyła również operatorom listę kontaktów i połączeń, wydarzenia w kalendarzu, dane geolokalizacyjne i wiele innych danych.

Jak uniknąć infekcji programem FinSpy

Niestety całkowite zabezpieczenie się przed tym oprogramowaniem szpiegującym działającym na poziomie rządowym nie jest łatwe. Możesz jednak zastosować pewne środki ostrożności, dzięki którym zminimalizujesz ryzyko infekcji programem FinSpy i innymi podobnymi aplikacjami:

  • Aplikacje pobieraj wyłącznie z zaufanych źródeł, zarówno dla urządzeń mobilnych, stacjonarnych, jak i laptopów. Ponadto użytkownicy systemu Android powinni zablokować możliwość instalacji aplikacji z nieznanych źródeł, aby zmniejszyć ryzyko infekcji.
  • Zanim klikniesz łącze znalezione w wiadomości e-mail, szczególnie jeśli pochodzi ona od nieznajomego, zastanów się dwa razy. Jeśli musisz kliknąć, najpierw dokładnie sprawdź, dokąd prowadzi link.
  • Nie decyduj się na jailbreak swojego smartfona ani tabletu. Rootowanie Androida i jailbreaking systemu iOS znacznie ułatwiają realizację włamania.
  • Nie pozostawiaj urządzeń bez nadzoru tam, gdzie mogą się do nich dostać nieznajomi.
  • Na wszystkich swoich urządzeniach zainstaluj niezawodną ochronę.
Porady