Легендарная спайварь FinFisher, она же FinSpy, была разработана компанией Gamma Group как легальный инструмент для правительств и силовых структур. По слухам, он активно применялся для политической слежки за журналистами и диссидентами в самых разных странах мира. В 2011 программу слил в WikiLeaks Джулиан Ассанж, после чего та стала достоянием анонимусов и подверглась пристальному изучению со стороны специалистов по информационной безопасности и прочих заинтересованных лиц.
FinFisher может перехватывать переписку жертвы в социальных сетях, отслеживать почтовые сообщения, работать кейлоггером, предоставлять доступ к хранящимся на инфицированной машине файлам, а также записывать видео и аудио с помощью встроенного микрофона и камеры. Существуют сборки FinFisher под Windows, macOS и Linux. Кроме того, за прошедшие годы были созданы мобильные версии трояна практически для всех существующих сегодня платформ: Android, iOS, BlackBerry, Symbian и Windows Mobile.
Теперь эксперты «Лаборатории Касперского» сообщают, что нашли обновленные версии FinFisher (FinSpy), которыми было заражено несколько десятков мобильных устройств. Последние на текущий момент случаи активности были зафиксированы в Мьянме в июне 2019.
За полгода до этого, в конце 2018 года, аналитики изучили новейшие версии имплантов FinSpy для мобильных ОС iOS и Android, скомпилированные летом 2018. Выяснилось, что они имеют практически одинаковую функциональность и способны собирать различные типы пользовательских данных: контакты, электронные письма, SMS/MMS-сообщения, записи из календарей, данные о геолокации, фотографии, файлы из памяти, записи телефонных звонков, а также данные из популярных мессенджеров.
Так, теперь малварь для Android ворует чаты, изображения, видео и контакты из множества мессенджеров, среди которых Facebook Messenger, Skype, Signal, BlackBerry Messenger, Telegram, Threema, Viber, WhatsApp, Line и InstaMessage. В свою очередь, версич для iOS атакует Facebook Messenger, Skype, Threema, Signal, InstaMessage, BlackBerry Messenger, а также WeChat. Кроме того, новые версии FinFisher могут записывать VoIP-звонки, сделанные через WhatsApp, Skype, Line, Viber, WeChat, Signal, BlackBerry Messenger и KakaoTalk.
На iOS для доступа к защищенным данным используется фреймворк Cydia Substrate, то есть имплант может быть установлен только на iPhone или iPad с джейлбрейком (единственный способ установить FinSpy для iOS на не взломанное устройство – получить физический доступ к смартфону или планшету цели) и iOS версии 11 и ниже. Существование версий для iPod не подтверждено, равно как существование имплантов для более новых версий ОС: на момент исследования версий для iOS 12 обнаружено не было.
Имплант для Android имеет функциональность, аналогичную версии для iOS, но он способен получать права суперпользователя даже на нерутированном устройстве, используя для этого эксплоит для уязвимости DirtyCow. После успешной установки малварь пытается получить права root, проверив наличие известных рутирующих модулей SuperSU и Magisk и запустив их. Если никаких утилит нет, FinSpy дешифрует и выполняет эксплоит DirtyCow, скрытый в коде малвари.
Исследователи отмечают, что в целом функциональность малвари для Android вряд ли сильно изменится, учитывая, что большинство параметров конфигурации одинаковы в старых и новых версиях. Разнообразие доступных настроек позволяет адаптировать поведение импланта для каждой отдельной жертвы.
Как и в случае с имплантом для iOS, версию для Android можно установить вручную, если злоумышленник имеет физический доступ к устройству, а также с помощью векторов удаленного заражения: SMS-сообщений, электронной почты или WAP Push.
Импланты FinSpy контролируются через терминал оператора (FinSpy Agent). По умолчанию при активации все импланты подключаются к анонимным прокси-серверам FinSpy (также называемым FinSpy Relays), предоставляемым Gamma Group. Это сделано для того, чтобы скрыть реальное местоположение главного сервера FinSpy Master. Как только зараженная целевая система появляется в сети, она посылает сигнал прокси-серверу FinSpy Relay. Прокси-сервер обеспечивает связь между целями и главным сервером. Главный сервер FinSpy Master управляет всеми целями и терминалами и хранит собранные данные. На основании расшифрованных файлов конфигурации эксперты смогли найти различные прокси-серверы, используемые зараженными устройствами, и вычислить их географическое местоположение. Большинство из них сосредоточено в Европе, но некоторые из них находятся в Юго-Восточной Азии и США.
Сообщается, что суммарно в ходе исследований применение описанных имплантов было зафиксировано примерно в 20 странах мира. Но исследователи полагают, что принимая во внимание размер клиентской базы Gamma Group, вероятно, реальное число жертв намного выше, а география заражений значительно шире.
Фото: "Лаборатория Касперского"