Os especialistas da Kaspersky descobriram uma nova variante aprimorada do spyware do FinFisher, usado para espionar usuários de iOS e Android em 20 países.
Segundo os especialistas, as novas versões estão ativas pelo menos desde 2018, uma das amostras analisadas pela Kaspersky foi usada no mês passado em Mianmar, onde o governo local é acusado de violar direitos humanos.
“De acordo com a nossa telemetria, várias dezenas de dispositivos móveis únicos foram infectados ao longo do ano passado, com atividade recente registrada em Mianmar em junho de 2019.” lê o relatório publicado pela Kaspersky. “No final de 2018, especialistas da Kaspersky analisaram as versões mais recentes e funcionais dos implantes FinSpy para iOS e Android, criados em meados de 2018.”
As novas variantes do FinFisher implementam uma ampla gama de recursos para coletar dados de telefones celulares infectados, incluindo mensagens SMS / MMS, e-mails, calendários, localização GPS, fotos e dados da memória RAM do dispositivo.
É claro que as amostras também podem gravar chamadas telefônicas e gravar chamadas VoIP por meio de aplicativos populares, incluindo Skype ou WhatsApp.
O implante analisado pelos especialistas continha arquivos binários para arquiteturas de CPU ARMv7 e ARM64. Isso é muito importante se considerarmos que o iOS 11 é a primeira versão do sistema operacional iOS que não suporta mais o ARMv7.
Os especialistas apontaram que o novo implante do FinFisher para iOS não suporta o último iOS 12.x.
As versões para Android e iOS usam diferentes técnicas de infecção, por exemplo, o FinSpy para iOS não oferece explorações de infecção para seus clientes. Um invasor pode desbloquear o dispositivo se tiver acesso físico a ele. Para dispositivos com jailbreak, os invasores podem usar mensagens SMS, email e WAP Push como um vetor de infecção.
A versão Android do implante também é capaz de obter privilégios de root em um dispositivo sem root explorando a exploração do DirtyCow .
Ambas as versões podem espionar as comunicações através do Facebook Messenger, Skype, Sinal, BlackBerry Messenger, Telegrama, Threema, Viber, WhatsApp, Linha, InstaMessage e muito mais.
“Os desenvolvedores do FinSpy estão trabalhando constantemente nas atualizações de seu malware. No momento da publicação, os pesquisadores da Kaspersky descobriram outra versão da ameaça e estão atualmente investigando este caso. ”Conclui a análise.
“Um conjunto completo de IOCs, incluindo as regras do YARA, está disponível para os clientes do serviço do Kaspersky Intelligence Reporting. Para mais informações, entre em contato com [email protected] “
