FinSpy: il più avanzato tool di spionaggio

Lo spyware FinSpy prende di mira gli utenti di Android, iOS, macOS, Windows e Linux. Vi spieghiamo cosa può fare e come rimanere al sicuro.

Al recente Security Analyst Summit di Kaspersky, i nostri esperti hanno presentato un report dettagliato sullo spyware FinSpy (anche noto come FinFisher) e sui suoi metodi di distribuzione, compresi alcuni precedentemente sconosciuti. Potete leggere di più su ciò che hanno scoperto nel post di Securelist. In questo articolo, nel frattempo, esaminiamo che tipo di malware è FinSpy e come ci si può proteggere.

Cos’è FinSpy (FinFisher)?

È un programma spyware commerciale utilizzato dalle forze dell’ordine e dalle agenzie governative di tutto il mondo. FinSpy ha acceso per la prima volta il radar dei ricercatori nel 2011, quando i documenti relativi ad esso sono apparsi su WikiLeaks. Il codice sorgente è apparso online nel 2014, ma la storia di FinSpy non finisce di certo lì: dopo ulteriori modifiche, il malware continua ad infettare i dispositivi di tutto il mondo, fino ad oggi.

FinSpy è versatile, con versioni per computer su Windows, macOS e Linux, così come su dispositivi mobili con Android e iOS. Le sue capacità variano a seconda della piattaforma, ma in tutti i casi il malware impiega vari mezzi per trasmettere quantità di dati, segretamente, ai suoi gestori.

Come si è diffuso FinSpy

Lo spyware ha diversi modi per infiltrarsi nei dispositivi Windows.

Per esempio, può nascondersi in pacchetti di distribuzione infetti, compresi i download di TeamViewer, VLC Media Player, WinRAR e altri. Scaricando e eseguendo l’applicazione modificata è esattamente come si mette in moto una catena di infezione a più fasi.

Inoltre, i nostri ricercatori hanno trovato il malware loader in componenti che si caricano prima del sistema operativo: UEFI (Unified Extensible Firmware Interface, l’interfaccia attraverso la quale il sistema operativo comunica con l’hardware) e MBR (Master Boot Record, necessario per avviare Windows). In entrambi i casi, il semplice avvio del computer prorta all’installazione di FinSpy.

Uno smartphone o un tablet possono infettarsi con un link in un SMS.

In alcuni casi (per esempio, se sull’iPhone della vittima non è stata avviata la procedura di jailbreak), il criminale informatico potrebbe aver bisogno di un accesso fisico al dispositivo, il che complica un po’ il tutto. Inoltre, sembra che l’accesso fisico sia necessario ai cybercriminali per infettare i dispositivi Linux, ma non possiamo dirlo con certezza.

Quali dati ruba FinSpy?

FinSpy ha ampie capacità di sorveglianza dell’utente. Per esempio, le versioni per PC del malware possono:

  • Accendere il microfono e registrare o trasmettere tutto ciò che sente;
  • Registrare o trasmettere in tempo reale tutto ciò che l’utente digita sulla tastiera;
  • Accendere la telecamera e registrare o trasmettere immagini da essa;
  • Rubare i file con cui l’utente interagisce: accede, modifica, stampa, riceve, cancella e così via;
  • Scattare screenshot o salvare una sezione dello schermo su cui l’utente fa clic;
  • Rubare e-mail dai clienti di Thunderbird, Outlook, Apple Mail e Icedove;
  • Intercettare contatti, chat, chiamate e file su Skype.

Inoltre, la versione Windows di FinSpy può origliare le chiamate VoIP, intercettare certificati e chiavi di cifratura di certi protocolli, scaricare ed eseguire strumenti di raccolta di dati forensi. Oltre a tutto questo, la versione Windows di FinSpy può infettare gli smartphone BlackBerry, quindi anche questa piattaforma, ormai in disuso, non è trascurata.

Per quanto riguarda le versioni mobili di FinSpy, possono ascoltare e registrare le chiamate (voce o VoIP), leggere i messaggi di testo e monitorare l’attività degli utenti nelle app di messaggistica istantanea come WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal e Threema. Lo spyware mobile invia anche agli operatori una lista di contatti della vittima, chiamate, eventi del calendario, dati di geolocalizzazione e molto altro.

Come fare per evitare FinSpy

Sfortunatamente, non è così facile proteggersi del tutto dallo spyware di livello governativo. Tuttavia, potete prendere alcune precauzioni contro FinSpy e altre app di sorveglianza:

  • Scaricate le app solo da fonti fidate, sia per programmi per cellulari che per desktop o laptop. Inoltre, gli utenti Android dovrebbero vietare l’installazione da fonti sconosciute per ridurre le possibilità di infezione;
  • Fermatevi e pensate prima di cliccare su link in e-mail e messaggi di sconosciuti. Se dovete cliccare, prima controllate attentamente dove porta il link;
  • Non fate il jailbreak del vostro smartphone o tablet; il rooting di Android e il jailbreak di iOS rendono le effrazioni molto più facili;
  • Non lasciate i dispositivi incustoditi dove degli estranei ne hanno accesso;
  • Installate una protezione affidabile su tutti i vostri dispositivi.

Consigli