Программа-шпион FinSpy умеет собирать данные о местоположении и приложениях, контакты, файлы и записи телефонных звонков, а также заметки из календаря, однако «Лаборатория Касперского» выяснила, что отныне FinSpy может «читать» даже секретные чаты в мессенджерах Telegram, WhatsApp, Signal и Threema на гаджетах со старыми версиями iOS.

FinSpy для iOS может наблюдать за практически всеми действиями, совершаемые на устройстве, включая запись звонков VoIP через установленные приложения, например, Skype или WhatsApp, — заявляют в «Лаборатория Касперского».

iOS

FinSpy может «читать» зашифрованные переписки в мессенджерах, собирать из них данные, однако принимать непосредственное участие в диалоге не умеет. Программу FinSpy, наделённую такими возможностями, можно установить на устройства с версией iOS 11 и новее. Тем не менее, на актуальной версии «яблочной» операционной системы программа-шпион пока что не работает:

Проанализированные версии зловреда содержали исполняемые файлы для двух разных архитектур: ARMv7 и ARMv64. Учитывая, что версия iOS 11 – первая, которая больше не поддерживает ARMv7, мы предполагаем, что 64-битная версия предназначена для атаки на цели с iOS 11+.

В «Лаборатории Касперского» объясняют, что дистанционно установить программу-шпион можно только в том случае, когда iOS была взломана при помощи джейлбрейка — иначе для установки FinSpy необходим физический доступ.

Инфраструктура

Картинка: «Лаборатория Касперского»
Импланты FinSpy контролируются через терминал оператора (FinSpy Agent). По умолчанию при активации все импланты подключаются к анонимным прокси-серверам FinSpy. Это сделано для того, чтобы скрыть реальное местоположение главного сервера FinSpy Master.

Как только зараженная целевая система появляется в сети, она посылает сигнал прокси-серверу FinSpy Relay, который обеспечивает связь между целями и главным сервером. FinSpy Master управляет всеми целями и терминалами и хранит собранные данные.

Android тоже не забыли

«Читать» зашифрованные чаты в мессенджерах Threema, Signal, BlackBerry Messenger и InstaMessage программа FinSpy ранее умела и на Android-устройствах, которые можно дистанционно заразить FinSpy в случае, если на устройстве установлена старая версия Android — в остальных случаях тоже требуется физический доступ.

Заражение Android-устройств FinSpy может происходить при помощи рассылки через SMS, push-уведомлений или электронных писем. Представители Telegram, WhatsApp, Signal не стали комментировать ситуацию на момент публикации этой заметки.

Не оставляйте мобильные устройства незаблокированными, никому не сообщайте свой пароль от устройства, устанавливайте приложения только из официальных магазинов, не переходите по подозрительным ссылкам, отправленным с неизвестных номеров, регулярно проверяйте память телефон на наличие незнакомых приложений и сразу удаляйте их, если они нашлись, — рекомендует «Лаборатория Касперского».

Разработкой FinSpy, о которой впервые стало известно из публикаций WikiLeaks в 2011 году, занимается немецкая компания Gamma Group, которая распространяет программу-шпион по заказу властей и силовых ведомств через дочернюю компанию Gamma International.

«Лаборатория Касперского» подчёркивает, что за последний год программой FinSpy было заражено несколько десятков мобильных устройств:

С момента нашумевшей утечки исходных кодов в 2014 году Gamma Group воссоздала значительную часть своих имплантов, расширила поддерживаемые функции (например, список поддерживаемых мессенджеров был значительно увеличен) и в то же время улучшила используемые алгоритмы шифрования и обфускации имплантов, затруднив их анализ и обнаружение, для того, чтобы сохранить свои позиции на рынке шпионского ПО.

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!