FinSpy: spyware commerciale

15 Lug 2019

Cosa succede se una rispettata azienda IT sviluppa uno spyware al posto di malfattori che normalmente creano di nascosto il codice del malware? Il risultato è alquanto sgradevole e si chiama FinSpy (conosciuto anche come FinFisher), sviluppato e venduto ormai da un po’ di tempo, e in modo completamente legale. Durante lo scorso anno, abbiamo riscontrato questo spyware su decine di dispositivi mobili.

FinSpy/FinFisher è uno spyware legale che colpisce Android, iOS, Windows, macOS eLinux

Cosa fa FinSpy?

Esiste una versione per computer fissi (non solo Windows, ma anche macOS e Linux), tuttavia il pericolo più grande è per i dispositivi mobili: FinSpy può essere instasllato su iOS e Android e il suo kit di funzionalità va bene per entrambe le piattaforme. La app concede ai cybercriminali praticamente il controllo totale dei dati presenti nel dispositivo infettato.

Il malware può essere configurato in base alla vittima, offrendo alle sue menti creatrici informazioni dettagliate sull’utente come contatti, cronologia delle chiamate, geolocalizzazione, messaggi, eventi del calendario etc.

Ma non è tutto. FinSpy può registrare chiamate vocali e VoIP o appropriarsi di messaggi istantanei. È in grado di intercettare comunicazioni su diversi servizi come WhatsApp, WeChat, Viber, Skype, Line, Telegram, e anche Signal e Threema. A parte i messaggi, FinSpy estrae i file inviati e ricevuti dalle vittime nelle app di messaggistica, così come i dati di gruppi e contatti. Per maggiori informazioni su FinSpy, potete leggere il nostro post su Securelist.

Chi dovrebbe preoccuparsi di FinSpy

Si può essere infettati da FinSpy nello stesso modo di un qualsiasi altro malware. Nella maggior parte dei casi, basta cliccare su un link dannoso inviato via e-mail o messaggio di testo.

I proprietari dei dispositivi Android come sempre sono a rischio, soprattutto se hanno effettuato il rooting, operazione che agevola il lavoro del malware. In ogni caso, se l’utente non dovesse avere i permessi di root, ma sullo smartphone è stata installata un’app di root (può avvenire quando i diritti di root sono necessari per l’installazione di un’altra app), FinSpy può servirsene per ottenere tali diritti di root. E anche quando sullo smartphone non c’è nulla di tutto ciò, lo spyware può ottenere i diritti di root sfruttando l’exploit DirtyCow.

Gli utenti Apple sono un po’ più avvantaggiati. Per la versione iOS dello spyware è necessario effettuare il jailbreak del sistema e, nel caso in cui il proprietario dell’iPhone/iPad lo abbia già fatto, il dispositivo potrà essere infettato allo stesso modo di un dispositivo Android. In caso contrario, il cybercriminale deve poter accedere fisicamente al dispositivo, effettuare il jailbreak a mano, e poi installare FinSpy.

FinSpy/FinFisher: come infetta i dispositivi mobili e quali sono i dati che ruba.

Come difendersi da FinSpy

Per evitare di cadere nella trappola di FinSpy o di spyware simili, consigliamo sempre di seguire le raccomandazioni standard:

  • Non cliccate su link sospetti presenti in e-mail, messaggi istantanei o di testo;
  • Non cercate di ottenere i diritti di root (su Android) o di effettuare il jailbreak (su iOS) per i dispositivi sui quali sono presenti dati importanti;
  • Avvaletevi di una soluzione di sicurezza affidabile in grado di identificare questo tipo di minacce. I proprietari di un iPhone devono tenere in considerazione che, purtroppo, per iOS non sono disponibili soluzioni di questo tipo (e qui vi spieghiamo perché).