FinSpy — универсальный шпион

Недавно мы провели очередной Security Analyst Summit — нашу ежегодную конференцию по информационной безопасности. На ней наши эксперты представили развернутый доклад о шпионской программе FinSpy (она же FinFisher) и о методах ее распространения, в том числе ранее неизвестных. Подробно про находки наших исследователей можно почитать в посте на Securelist, а в этой статье мы расскажем вам, что это за зловред и как можно от него защититься.

Что такое FinSpy (FinFisher)

FinSpy — коммерческая шпионская программа, которой пользуются силовые структуры и государственные органы разных стран. Впервые она попала на радары исследователей в 2011 году, когда на Wikileaks появились связанные с ней документы. В 2014 году исходный код зловреда выложили в Интернет, однако на этом его история не закончилась: разработчики переписали FinSpy, и он до сих пор продолжает заражать устройства по всему миру.

В отличие от шпионских программ, нацеленных на какую-то определенную операционную систему, FinSpy универсален: у него есть версии и для компьютеров под управлением Windows, macOS и Linux, и для мобильных устройств с Android и iOS. В зависимости от платформы его возможности могут различаться, однако в любом варианте это опасный зловред, способный добираться до жертвы различными способами и тайком передавать своим хозяевам множество данных о ней.

Как распространяется FinSpy

FinSpy не ограничивается одним методом заражения. Так, на Security Analyst Summit 2021 наши исследователи представили сразу три пути, которые шпионская программа использует, чтобы проникнуть на компьютеры с Windows.

Например, зловред может скрываться в зараженных дистрибутивах приложений для этой операционной системы. Наши эксперты обнаружили множество таких программ, в их числе — установщики TeamViewer, VLC Media Player, WinRAR и другие. Если жертва загрузит и выполнит модифицированное приложение, оно запустит многоступенчатую цепочку заражения, подробнее про которую можно почитать на Securelist.

Кроме того, наши исследователи находили загрузчик зловреда в компонентах, которые загружаются до операционной системы. Это UEFI (Unified Extensible Firmware Interface) — интерфейс, с помощью которого операционная система взаимодействует с «железом», и MBR (Master Boot Record) — загрузочная запись, которая нужна, чтобы запустить Windows. В обоих случаях FinSpy устанавливается на компьютер при включении.

Подцепить FinSpy на смартфон или планшет можно, перейдя по ссылке из SMS. При этом в некоторых случаях — например, если у жертвы iPhone без джейлбрейка, — злоумышленнику может понадобиться физический доступ к устройству, что несколько осложнит ему задачу. Также с некоторой вероятностью для заражения компьютеров с Linux необходим физический доступ к ним, но полной уверенности в этом нет.

Какие данные ворует FinSpy

FinSpy располагает широкими возможностями для слежки за пользователями. Так, версии зловреда для ПК могут:

• включать микрофон и записывать или транслировать злоумышленникам все, что он слышит;
• записывать или передавать злоумышленникам в реальном времени все, что пользователь вводит на клавиатуре;
• включать камеру и записывать или транслировать изображение с нее;
• копировать файлы, которые пользователь изменяет, отправляет на печать, получает, удаляет и так далее;
• снимать скриншоты или захватывать участок экрана там, где пользователь кликает мышью;
• воровать письма из клиентов Thunderbird, Outlook, Apple Mail и Icedove;
• перехватывать контакты, чаты, звонки и файлы в Skype.

В дополнение к этому версия FinSpy для Windows может подслушивать VoIP-звонки, перехватывать сертификаты и ключи шифрования для определенных протоколов, а также загружать и запускать утилиты для сбора криминалистических данных. Помимо вышеперечисленного, Windows-версия шпиона умеет еще и заражать смартфоны Blackberry — так что даже эта уже экзотическая платформа разработчиками FinSpy не забыта.

В свою очередь, мобильные версии FinSpy умеют прослушивать и записывать звонки — как голосовые, так и VoIP, читать SMS и следить за активностью пользователя в мессенджерах, таких как WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal и Threema. Кроме того, мобильный шпион отправляет злоумышленникам список контактов и звонков жертвы, мероприятия из календаря, информацию о местоположении устройства и многое другое.

Как не стать жертвой FinSpy

К сожалению, полностью защититься от шпионских программ, которыми пользуются на государственном уровне, не так уж просто. Тем не менее, если вы опасаетесь FinSpy или других приложений для слежки, будет полезно принять некоторые меры предосторожности:

• Скачивайте приложения только из надежных источников. Это касается и мобильных приложений, и программ для настольных компьютеров. А установку из сторонних источников в Android лучше просто запретить: так шанс заразиться будет значительно меньше.
• Не спешите переходить по ссылкам из писем и сообщений от незнакомцев. Если по какой-то причине вы не можете игнорировать такие сообщения, стоит сначала как следует проверить, куда ведет ссылка.
• Не взламывайте собственные смартфоны и планшеты: рутование Android и джейлбрейк iOS существенно облегчают работу злоумышленникам.
• Не оставляйте свои устройства без присмотра там, где к ним могут получить доступ посторонние.
• Установите надежную защиту на все свои устройства.