Спайварь FinFisher, так же известная как FinSpy, была создана много лет назад компанией Gamma Group International (Мюнхен, Германия), а ее продажей занимается дочерняя компания Gamma Group в Великобритании. В основном FinFisher распространяется среди правительственных агентств и правоохранительных органов разных стран, но Gamma Group неоднократно ловили на продаже своих решений странам с диктаторскими режимами, так что ИБ-эксперты давно рассматривают это ПО как обычную и весьма опасную малварь.
FinFisher представляет собой классический образчик шпионского ПО, может включать камеры и микрофоны на зараженной машине, перехватывать нажатия клавиш, похищать файлы, «подслушивать» звонки через Skype и так далее.
Как правило, FinFisher распространяется так же, как другая малварь, посредством направленного фишинга, 0-day эксплоитов, drive-by загрузок, атак типа watering hole и так далее. Но теперь специалисты компании ESET заявляют, что FinFisher выходит на новый уровень, и к распространению подключились интернет провайдеры двух стран.
Так как компании-провайдеры могут контролировать трафик своих клиентов, они используют эту возможность для осуществления своеобразных MitM-атак. Когда пользователь пытается скачать определенную программу, его незаметно переадресуют на вредоносную версию этого ПО, содержащую FinFisher. Для этого провайдеры используют HTTP 307 Temporary Redirect.
По данным исследователей, таким образом провайдеры подменяют такие популярные приложения, как WhatsApp, Skype, Avast, WinRAR, VLC Player и многие другие. Аналитики ESET не раскрывают названия этих компаний-провайдеров «чтобы не подвергать никого опасности».
Стоит заметить, что выводы ESET подтверждаются и документами, опубликованными на Wikileaks. Согласно этим бумагам (PDF), один из пакетов FinFisher (FinFly ISP), распространяемых Gamma Group, предназначен для установки на уровне интернет-провайдеров.
