Что получается, когда за разработку шпионского софта берутся не подпольные малварщики, а серьезная IT-компания? Результатом может быть такая неприятная штука, как FinSpy (также этот шпион известен как FinFisher), которую уже довольно давно разрабатывает и совершенно легально продает немецкая компания Gamma Group. За последний год мы обнаружили десятки мобильных устройств, атакованных этой программой-шпионом.
Что умеет FinSpy
У шпионской программы есть версия и для компьютеров (причем не только с Windows, но также с macOS и Linux). Но, пожалуй, наибольшую опасность представляют «импланты» для мобильных устройств: FinSpy может быть установлена как на iOS, так и на Android, при этом для каждой платформы доступен одинаковый набор функций — приложение предоставляет атакующему практически полный контроль над зараженным устройством.
Конфигурация зловреда может быть настроена индивидуально для каждой жертвы, и таким образом организатор атаки может получить подробнейшую информацию о пользователе, его список контактов, историю звонков, геолокацию, текстовые сообщения, мероприятия из календаря и так далее.
Но это еще не все. FinSpy умеет записывать голосовые и VoIP-звонки, перехватывать сообщения из мессенджеров. Шпион умеет «прослушивать» множество мессенджеров — WhatsApp, WeChat, Viber, Skype, Line, Telegram, а также Signal и Threema. Помимо сообщений FinSpy извлекает из мессенджеров переданные и полученные жертвой файлы, а также данные о группах, контактах и так далее. Больше подробностей о FinSpy можно узнать на Securelist.
Кому стоит опасаться FinSpy
Заразиться FinSpy можно точно так же, как и множеством других зловредов: чаще всего — тапнув по ссылке из вредоносного письма или SMS.
Традиционно в зоне риска находятся владельцы Android-устройств, а если оно еще и «рутованное», это сильно облегчит зловреду задачу. При этом если у пользователя нет рут-прав, но в смартфоне установлена одна из популярных программ для их получения (так бывает, когда для установки какого-либо приложения требуется временно получить права суперпользователя), FinSpy может воспользоваться ей для их получения. Впрочем, шпион может получить «рут» и без посторонней помощи, с помощью эксплойта DirtyCow.
Пользователям продукции Apple легче: для работы шпиона под iOS требуется, чтобы система была взломана — «джейлбрейкнута». Если владелец iPhone (или iPad) по тем или иным причинам уже сделал это сам, то заразить устройство можно точно так же, как и Android-гаджет. В противном случае атакующему потребуется заполучить физический доступ к устройству, «джейлбрейкнуть» его и уже потом установить на него FinSpy.
Как защититься от программы-шпиона FinSpy
Чтобы не стать жертвой FinSpy и подобных шпионских программ, нужно следовать стандартным рекомендациям:
- Не переходите по подозрительным ссылкам из писем, сообщений в мессенджерах и SMS.
- Не стоит получать рут-права в Android (или делать джейлбрейк в iOS) на устройствах, имеющих доступ к критически важным данным.
- Используйте надежное защитное решение, умеющее выявлять данный тип угроз. Владельцам айфонов следует иметь в виду, что для iOS такой защиты не бывает (и вот почему).