FinSpy-Malware kann Nachrichten auf FB Messenger-, Skype-, Signal- und anderen Plattformen abfangen
Die Homepage eines deutschen Unternehmens namens Gamma Group behauptet, dass es "schlüsselfertige Telekommunikationslösungen, Fachwissen und Beratung" anbietet. Aber ist das wirklich alles?
Wenn Sie sich eine archivierte Version der Website der Gamma Group ansehen, werden Sie feststellen, dass es vor sechs Jahren noch einige weitere Dinge gab. Darunter befand sich eine Anzeige für ein von Gamma als "IT-Eindringling" bezeichnetes Tool namens FinFisher, mit dem Strafverfolgungs- und Nachrichtendienste angeblich "unübertroffene IT-Ermittlungs- und Überwachungstechniken innerhalb der IT-Umgebung" erhalten könnten. Mit anderen, klareren Worten, die Gamma Group verkaufte ein Spyware-Programm.
FinFisher, auch als FinSpy bekannt, wurde möglicherweise von der Website der Gamma Group entfernt, ist jedoch noch nicht vom Erdboden verschwunden. Kürzlich haben beispielsweise Forscher von Kaspersky Dutzende von Infektionen in Myanmar festgestellt und nach einigen Untersuchungen "in fast 20 Ländern" Aktivitäten im Zusammenhang mit FinSpy festgestellt .
Table of Contents
FinSpy ist so beeindruckend wie nie zuvor
FinSpy hat viel durchgemacht. Die Desktop-Version hatte sich bereits einen Namen gemacht, als die Gamma Group 2012 Implantate für Android, iOS und andere damals beliebte mobile Betriebssysteme herausbrachte. Im Jahr 2014 haben Hacker jedoch Quellcode und interne Daten im Wert von rund 40 GB in Bezug auf FinSpy verloren, was die Erkennung und den Schutz erheblich vereinfacht hat. Die Entwickler der Spyware haben im Grunde ganz von vorne angefangen, und in den letzten fünf Jahren haben sie hart gearbeitet.
In der Vergangenheit war FinSpys Desktop-Inkarnation etwas vielseitiger als die mobile, aber die von Kaspersky analysierten Android- und iOS-Implantate bieten so viele verschiedene Funktionen, dass sie FinSpys mobile Version für viele Geheimdienste zur bevorzugten Waffe machen könnten.
Die Fähigkeiten, die Sie von einem seriösen Spionagetool erwarten, sind alle vorhanden. FinSpy kann SMS-Nachrichten, E-Mails und Dateien stehlen und verbergen sowie die Geolokalisierung des Ziels verfolgen und seine Telefonanrufe aufzeichnen. Ein Netzwerk anonymisierter Proxys stellt sicher, dass der Standort der FinSpy-Betreiber während des Datenexfiltrationsprozesses nicht preisgegeben wird.
Instant Messaging-Anwendungen sind stark betroffen
Anscheinend verwenden viele FinSpy-Ziele Instant Messaging-Anwendungen, um mit anderen Personen zu kommunizieren. Die Malware wird mit Modulen geliefert, die nicht nur Nachrichten, sondern auch Kontaktlisten, empfangene Dateien und Aufzeichnungen von Sprach- und Videoanrufen aus verschiedenen Chat-Apps filtern können. Voraussichtlich sind beliebte Dienste wie Facebook Messenger, Skype und Viber auf der Liste, aber es gibt auch Apps, die Ihre Konversationen für sich behalten sollen, wie WhatsApp, Telegramm und Signal.
Es müssen noch einige Verbesserungen vorgenommen werden
Insbesondere bei FinSpy für iOS treten ein oder zwei Probleme auf. Eine Ferninfektion von Geräten, die noch keinen Jailbreak haben, ist nicht möglich, sodass möglicherweise physischer Zugriff erforderlich ist. Selbst dann ist eine Infektion mit den von Kaspersky analysierten Implantaten nicht möglich, wenn auf dem iDevice iOS 12 oder neuer ausgeführt wird. Damit Sie einen Eindruck davon bekommen, was dies bedeutet, ist iOS 12.x derzeit auf etwas mehr als 84% aller iPhones und iPads installiert. Das Android-Implantat benötigt auch ein gerootetes Gerät, um zu funktionieren, obwohl es mit einem Dirty Cow-Exploit geliefert wird, der Abhilfe schaffen kann.
Diese Details begrenzen zwar die Anzahl potenzieller Ziele etwas, aber FinSpy's zeigt definitiv, dass die Entwickler der Spyware nichts anderes als motiviert sind, ihre Überwachungstools weiter zu verbessern, sodass die Probleme wahrscheinlich früher oder später behoben werden. Dies ist etwas, was potenzielle Ziele von Regierung und Geheimdiensten berücksichtigen sollten.
