• Trojan FinFisher para iOS e Android Descoberto em Plena Atividade

    Algumas variantes móveis do trojan FinSpy, estão atualmente em plena circulação. De acordo com um relatório emitido pelos pesquisadores da University Toronto's Citizen Lab, eles teriam descoberto a existência variantes móveis de FinSpy desenvolvidas para o sistema Android, para BlackBerry, iOS, Symbian e para o Windows Mobile. A localização dos servidores de comando e controle (C & C), sugere áreas-alvo situadas no Oriente Médio.


    Criação do Trojan FinFisher e Suporte ao Windows, Linux e Mac OS X

    O trojan spyware comercial FinFisher FinSpy foi criado pela Gamma Internacional, e seu processo de desenvolvimento, ao que tudo indica, começou na Alemanha. A empresa vende o seu kit de ferramentas malicioso (desenvolvido para suportar atualmente todos os principais sistemas operacionais, incluindo Linux, Mac OS X e Windows) aos governos, possibilitando a utilização por agências de segurança. Até o momento, era bastante limitado o conhecimento sobre a variante móvel do trojan, assim como seu grau de destrutividade.





    "FinFisher" é mais um elemento nefasto, originário do spyware "FinSpy", cuja intenção é atacar usuários das bases iOS e Android


    Com base nos exemplos de código disponíveis, a Citizen Lab está convencida de que os trojans móveis analisados ​​são uma variante móvel de FinSpy. O trojan, de acordo com uma análise realizada, demonstrou ser capaz de monitorar salas através de chamadas silenciosas, além de monitorar downloads de arquivos, rastrear a localização de um usuário e encaminhar ligações telefônicas, mensagens de texto via SMS e e-mails. FinSpy também pode, aparentemente, interceptar mensagens do BlackBerry Messenger. O trojan normalmente infecta smartphones, através de e-mails especialmente criados para esta finalidade nefasta, portanto, é necessário atenção máxima para essa questão.


    Ataques aos Sistemas iOS e Android

    A variante do trojan, ao atacar o sistema iOS, requer a versão iOS 4 ou superior e é executável em todos os modelos do iPad, no iPhone 4 e 4S, e na terceira e quarta geração de dispositivos iPod Touch. O aplicativo instala um backdoor, o código de download e injeta este código para a rotina de inicialização, ancorando-se profundamente no sistema. Nesse contexto, os pesquisadores descobriram a referência "FinSpyV2" no binário. Devido ao binário possuir um certificado de desenvolvedor válido e um perfil de distribuição ad-hoc, os dispositivos iOS podem aceitá-lo sem que haja a necessidade de realizar um jailbreak. Esse certificado foi emitido por Martin Münch, que é diretor da subsidiária alemã da Gamma Internacional.

    Em smartphones Android, o programa instala-se como um "Android Services", enquanto em dispositivos Symbian ele se identifica como um "System Update", proveniente de "Cyan Engineering Services". A variante BlackBerry se identifica como rlc_channel_mode_updaters e é assinada com chaves RIM. Vários números de telefone podem ser extraídos a partir da chave de desenvolvedor, mas parecem ser apenas pistas falsas: o número alemão, por exemplo, se conecta a uma residência privada. No Windows Mobile, o drop down FinSpy se disfarça como um serviço de sistema, de uma forma semelhante à variante para a plataforma Android, que se autodenomina "services.exe" e injeta duas DLLs para smartphones.


    Identificação de Servidores C & C e Localização em Diversos Países

    Os pesquisadores do Citizen Labs dizem que identificaram servidores de C & C (Comando e Controle) suspeitos do FinFisher localizados em dez países: Etiópia, Barein, Brunei, Indonésia, Mongólia, Cingapura, Turcomenistão e Emirados Árabes Unidos, assim como a Holanda e a República Tcheca. Esta lista é parcial, mas não completamente idêntica aos achados na análise realizada por pesquisadores de segurança da Rapid 7. Com tantas ocorrências dessa natureza, toolkits trojan spyware parece que estão em voga: no final de julho, o trojan Crisis foi encontrado como parte integrante do spyware italiano "Da Vinci", cujos módulos podem infectar os sistemas Mac OS X e dispositivos Windows, além de smartphones com Windows Mobile.


    Saiba Mais:

    [1] Heise On-line http://www.h-online.com/security/new...d-1695754.html