Um dos mais poderosos, infames e avançados spywares de vigilância comercial de nível governamental apelidado de FinSpy – também conhecido como FinFisher – foi descoberto nos usuários selvagens de Mianmar.
Criado pela empresa alemã Gamma International, o FinSpy é um software de espionagem que pode segmentar várias plataformas móveis, incluindo iOS e Android, bem como sistemas operacionais de desktop.
O Grupo Gamma supostamente vende sua polêmica ferramenta de espionagem FinSpy exclusivamente para agências governamentais em todo o mundo, mas também ganhou notoriedade por atacar ativistas de direitos humanos em muitos países.
O implante FinSpy é capaz de roubar uma grande quantidade de informações pessoais de dispositivos móveis direcionados, como mensagens SMS / MMS, gravações de chamadas telefônicas, e-mails, contatos, fotos, arquivos e dados de localização GPS.
Em seu último relatório publicado hoje, os pesquisadores da Kaspersky revelaram uma campanha de espionagem virtual que envolve atingir os usuários de Mianmar com as versões mais recentes dos implantes FinSpy para iOS e Android.
Como algumas funcionalidades avançadas exigem que o FinSpy tenha privilégios de root em um dispositivo de destino, o implante não funciona corretamente no iOS sem jailbreak, o que pode ser obtido com acesso físico ou remotamente em combinação com algumas vulnerabilidades de dia zero.
No entanto, no caso do Android, os pesquisadores descobriram que o implante tem usado a exploração do DirtyCow para obter automaticamente privilégios de root em um dispositivo Android não enraizado, permitindo que invasores infectem com sucesso um dispositivo remotamente.
De acordo com os pesquisadores, as novas versões do FinSpy para ambos os sistemas operacionais móveis também são capazes de gravar chamadas VoIP via aplicativos externos como Skype, WeChat, Viber, LINE, bem como através de aplicativos de mensagens seguras como WhatsApp, Threema, Signal, e telegrama.
“O módulo .chext direciona os aplicativos do messenger e conecta suas funções para exfiltrar quase todos os dados acessíveis: conteúdo da mensagem, fotos, localização geográfica, contatos, nomes de grupos e assim por diante. Os dados coletados são enviados ao servidor local implantado pelo módulo principal, “dizem os pesquisadores.
O FinSpy também inclui funcionalidade de keylogging e também foi projetado para encobrir as trilhas de suas atividades em um dispositivo de destino.
“Desde o vazamento em 2014, o Gamma Group recriou partes significativas de seus implantes, estendeu a funcionalidade suportada (por exemplo, a lista de mensageiros instantâneos suportados foi significativamente expandida) e melhorou a criptografia e ofuscação (tornando mais difícil a análise e detectar implantes), o que tornou possível manter a sua posição no mercado “, concluem os pesquisadores.
Enquanto conduzem suas pesquisas, os pesquisadores da Kaspersky detectaram as versões atualizadas dos implantes FinSpy usados na natureza em quase 20 países, mas “assumindo o tamanho da base de clientes da Gamma; é provável que o número real de vítimas seja muito maior”.
A Gamma está trabalhando continuamente nas atualizações para o malware FinSpy, pois os pesquisadores encontraram outra versão da ameaça no momento da publicação do relatório e estão investigando a amostra no momento.
