Wiadomości

Badacze z firmy Kaspersky wykryli nowe wersje zaawansowanego szkodliwego narzędzia inwigilacyjnego FinSpy. Nowe implanty działają zarówno na urządzeniach z systemem iOS, jak i Android, potrafią monitorować aktywność na niemal wszystkich popularnych komunikatorach i jeszcze lepiej zacierać swoje ślady. Narzędzia umożliwiają atakującym szpiegowanie wszystkich działań wykonywanych na urządzeniach oraz wyprowadzanie wrażliwych danych obejmujących lokalizację GPS, wiadomości, zdjęcia, połączenia itp.

FinSpy to niezwykle skuteczne oprogramowanie służące do ukierunkowanej inwigilacji, które kradnie informacje z międzynarodowych organizacji pozarządowych, rządów oraz organów ścigania na całym świecie. Jego operatorzy potrafią dostosować zachowanie każdego szkodliwego implantu FinSpy do konkretnego celu lub grupy celów.

Podstawowa funkcjonalność szkodnika obejmuje niemal nieograniczone monitorowanie działań wykonywanych na urządzeniu. Inwigilacja dotyczy geolokalizacji, wszystkich przychodzących i wychodzących wiadomości, kontaktów, plików przechowywanych na urządzeniu oraz danych z popularnych komunikatorów, takich jak WhatsApp, Facebook Messenger czy Viber. Wszystkie wyprowadzone dane są przesyłane do atakujących za pośrednictwem wiadomości SMS lub protokołu HTTP.

W najnowszych ze znanych wersji szkodnika funkcjonalność szpiegowska została rozszerzona na dodatkowe komunikatory, w tym te uznawane za "bezpieczne", jak Telegram, Signal czy Threema. Udoskonalono również zacieranie śladów. Na przykład szkodnik dla systemu iOS, atakujący iOS 11 oraz starsze wersje, potrafi ukryć fakt zdjęcia zabezpieczeń systemu na urządzeniu, podczas gdy nowa wersja dla Androida zawiera exploita potrafiącego uzyskać uprawnienia administratora dające niemal nieograniczony, pełny dostęp do wszystkich plików i poleceń - na "niezrootowanym" urządzeniu.

Z informacji posiadanych przez firmę Kaspersky wynika, że aby zainfekować urządzenia z systemem Android oraz iOS, musi zostać spełniony jeden z dwóch warunków: cyberprzestępcy mają fizyczny dostęp do telefonu lub na urządzeniu złamano wcześniej zabezpieczenia systemu / uzyskano dostęp do konta administratora (rootowanie lub jailbreak). W drugim przypadku występują co najmniej trzy potencjalne wektory infekcji: wiadomości SMS, poczta e-mail oraz powiadomienia push.

Na podstawie telemetrii firmy Kaspersky szacuje się, że w zeszłym roku zainfekowanych zostało kilkadziesiąt urządzeń przenośnych.

Osoby, które stworzyły FinSpy, nieustannie monitorują aktualizacje bezpieczeństwa dla platform mobilnych i niezwłocznie zmieniają swoje szkodniki tak, aby ich działanie nie zostało zablokowane przez łaty bezpieczeństwa. Ponadto śledzą trendy i wyposażają szkodniki w funkcje wyprowadzania danych z popularnych aplikacji. Codziennie identyfikujemy ofiary implantów szkodnika FinSpy, dlatego warto monitorować najnowsze aktualizacje platform i instalować je, jak tylko zostaną udostępnione. A to dlatego, że niezależnie od tego, jak bezpieczne są aplikacje, z których korzystasz, oraz jak dobrze chronione są twoje dane, w momencie uzyskania dostępu do konta administratora na twoim telefonie lub złamania na nim zabezpieczeń systemu, urządzenie staje się podatne na szpiegowanie - powiedział Alex Firsh, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

źródło: Kaspersky