FinSpy: a mais nova ferramenta de espionagem

Spyware FinSpy tem como alvo usuários de Android, iOS, macOS, Windows e Linux. Veja o que ele pode fazer e como se manter protegido.

No recente Security Analyst Summit da Kaspersky, nossos especialistas apresentaram um relatório detalhado sobre o spyware FinSpy (também conhecido como FinFisher) e seus métodos de distribuição, incluindo alguns anteriormente desconhecidos. Você pode ler mais sobre suas descobertas no Securelist. Neste artigo, entretanto, exploramos o tipo de malware FinSpy e como você pode se proteger dele.

O que é o FinSpy (FinFisher)?

Um programa de spyware comercial usado por agências governamentais e policiais em todo o mundo, o FinSpy iluminou o radar dos pesquisadores pela primeira vez em 2011, quando documentos relacionados a ele apareceram no WikiLeaks. O código-fonte apareceu online em 2014, mas a história da FinSpy não terminou aí: depois de um novo desenvolvimento e até hoje, o malware continua a infectar dispositivos em todo o mundo.

O FinSpy é versátil, com versões para computadores que executam Windows, macOS e Linux, bem como dispositivos móveis com Android e iOS. Seus recursos variam dependendo da plataforma, mas em todos os casos o malware emprega vários meios para transmitir pacotes de dados sobre eles secretamente para seus manipuladores.

Como o FinSpy se espalha

O spyware possui várias maneiras de se infiltrar em máquinas Windows.

Por exemplo, pode se ocultar em pacotes de distribuição infectados, incluindo instaladores para TeamViewer, VLC Media Player, WinRAR e outros. Baixar e executar o aplicativo modificado aciona uma cadeia de infecção de várias etapas.

Além disso, nossos pesquisadores encontraram o carregador de malware em componentes que carregam antes do sistema operacional: UEFI (Unified Extensible Firmware Interface, a interface pela qual o sistema operacional se comunica com o hardware) e MBR (Master Boot Record, necessário para iniciar o Windows). De qualquer forma, simplesmente inicializar o computador instala o FinSpy.

Um smartphone ou tablet pode pegar o FinSpy por meio de um link em uma mensagem de texto. Em alguns casos (por exemplo, se o iPhone da vítima não estiver desbloqueado com jailbreak), o invasor pode precisar de acesso físico ao dispositivo, o que complica um pouco a tarefa. Além disso, parece que o acesso físico é necessário para que os invasores infectem as máquinas Linux, mas não podemos dizer com certeza.

Quais dados FinSpy rouba?

O FinSpy possui amplos recursos de vigilância do usuário. Por exemplo, as versões do malware para PC podem:

● Ligar o microfone e gravar ou transmitir tudo o que ouvir;

● Gravar ou transmitir em tempo real tudo o que o usuário digita no teclado;

● Ligar a câmera e gravar ou transmitir imagens dela;

● Roubar arquivos com os quais o usuário interage: acessar, modificar, imprimir, receber, excluir e assim por diante;

● Fazer capturas de tela ou capturar uma seção da tela em que o usuário clica;

● Roubar e-mails Thunderbird, Outlook, Apple Mail e Icedove;

● Interceptar contatos, bate-papos, chamadas e arquivos no Skype.

Além disso, a versão Windows do FinSpy pode espionar chamadas VoIP, interceptar certificados e chaves de criptografia para determinados protocolos e baixar e executar ferramentas de coleta de dados forenses. Essa versão também pode infectar smartphones BlackBerry.

Quanto às versões para dispositivos móveis, elas podem ouvir e gravar chamadas (voz ou VoIP), ler mensagens de texto e monitorar a atividade do usuário em aplicativos de mensagens instantâneas como WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal e Threema. O spyware móvel também envia aos operadores uma lista de contatos da vítima, chamadas, eventos de calendário, dados de geolocalização e muito mais.

Como evitar o FinSpy

Infelizmente, não é fácil se manter protegido contra spyware de nível governamental. Dito isso, você pode tomar algumas precauções contra o FinSpy e outros aplicativos de vigilância:

● Baixe aplicativos apenas de fontes confiáveis, seja para programas de celular ou de desktop ou laptop. Além disso, os usuários do Android devem proibir a instalação de fontes desconhecidas para reduzir suas chances de infecção;

● Pare e pense antes de clicar em links em e-mails e mensagens de estranhos. Se você precisar clicar, primeiro verifique cuidadosamente para onde o link direciona;

● Não desbloqueie seu smartphone ou tablet. O rooting do Android e o jailbreak do iOS tornam as invasões muito mais fáceis;

● Não deixe dispositivos sem supervisão em locais que desconhecidos tenham acesso;

● Instale uma proteção confiável em todos os seus dispositivos.

Dicas