Criação do Trojan FinFisher e Suporte ao Windows, Linux e Mac OS X
O trojan spyware comercial FinFisher FinSpy foi criado pela Gamma Internacional, e seu processo de desenvolvimento, ao que tudo indica, começou na Alemanha. A empresa vende o seu kit de ferramentas malicioso (desenvolvido para suportar atualmente todos os principais sistemas operacionais, incluindo Linux, Mac OS X e Windows) aos governos, possibilitando a utilização por agências de segurança. Até o momento, era bastante limitado o conhecimento sobre a variante móvel do trojan, assim como seu grau de destrutividade.
"FinFisher" é mais um elemento nefasto, originário do spyware "FinSpy", cuja intenção é atacar usuários das bases iOS e Android
Com base nos exemplos de código disponíveis, a Citizen Lab está convencida de que os trojans móveis analisados são uma variante móvel de FinSpy. O trojan, de acordo com uma análise realizada, demonstrou ser capaz de monitorar salas através de chamadas silenciosas, além de monitorar downloads de arquivos, rastrear a localização de um usuário e encaminhar ligações telefônicas, mensagens de texto via SMS e e-mails. FinSpy também pode, aparentemente, interceptar mensagens do BlackBerry Messenger. O trojan normalmente infecta smartphones, através de e-mails especialmente criados para esta finalidade nefasta, portanto, é necessário atenção máxima para essa questão.
Ataques aos Sistemas iOS e Android
A variante do trojan, ao atacar o sistema iOS, requer a versão iOS 4 ou superior e é executável em todos os modelos do iPad, no iPhone 4 e 4S, e na terceira e quarta geração de dispositivos iPod Touch. O aplicativo instala um backdoor, o código de download e injeta este código para a rotina de inicialização, ancorando-se profundamente no sistema. Nesse contexto, os pesquisadores descobriram a referência "FinSpyV2" no binário. Devido ao binário possuir um certificado de desenvolvedor válido e um perfil de distribuição ad-hoc, os dispositivos iOS podem aceitá-lo sem que haja a necessidade de realizar um jailbreak. Esse certificado foi emitido por Martin Münch, que é diretor da subsidiária alemã da Gamma Internacional.
Em smartphones Android, o programa instala-se como um "Android Services", enquanto em dispositivos Symbian ele se identifica como um "System Update", proveniente de "Cyan Engineering Services". A variante BlackBerry se identifica como rlc_channel_mode_updaters e é assinada com chaves RIM. Vários números de telefone podem ser extraídos a partir da chave de desenvolvedor, mas parecem ser apenas pistas falsas: o número alemão, por exemplo, se conecta a uma residência privada. No Windows Mobile, o drop down FinSpy se disfarça como um serviço de sistema, de uma forma semelhante à variante para a plataforma Android, que se autodenomina "services.exe" e injeta duas DLLs para smartphones.
Identificação de Servidores C & C e Localização em Diversos Países
Os pesquisadores do Citizen Labs dizem que identificaram servidores de C & C (Comando e Controle) suspeitos do FinFisher localizados em dez países: Etiópia, Barein, Brunei, Indonésia, Mongólia, Cingapura, Turcomenistão e Emirados Árabes Unidos, assim como a Holanda e a República Tcheca. Esta lista é parcial, mas não completamente idêntica aos achados na análise realizada por pesquisadores de segurança da Rapid 7. Com tantas ocorrências dessa natureza, toolkits trojan spyware parece que estão em voga: no final de julho, o trojan Crisis foi encontrado como parte integrante do spyware italiano "Da Vinci", cujos módulos podem infectar os sistemas Mac OS X e dispositivos Windows, além de smartphones com Windows Mobile.
Saiba Mais:
[1] Heise On-line http://www.h-online.com/security/new...d-1695754.html