Si chiama FinSpy ed è uno strumento di sorveglianza mirata per varie piattaforme mobile, tra cui iOS e Android, e desktop.
Distribuito dalla società tedesca Gamma Group che lo vende alle organizzazioni governative e alle forze dell’ordine in tutto il mondo, lo spyware è in grado di rubare informazioni sensibili come contatti, messaggi SMS/MMS, e-mail, calendari, posizione GPS, foto, file in memoria, registrazioni di chiamate telefoniche e archivi delle chat di WhatsApp, Telegram, Messenger, Viber e Facebook.
Si tratta, dunque, di una pericolosa minaccia soprattutto per chi usa quotidianamente lo smartphone per scopi lavorativi: pensiamo, ad esempio, ad amministratori, responsabili di aziende e smart worker.
Tutti i dati esfiltrati dallo smartphone dell’ignara vittima dell’azione di cyber spionaggio vengono poi inviati ai cyber criminali mediante messaggi di testo SMS o su protocollo HTTP.
Dai rilevamenti effettuati nei laboratori di ricerca Kaspersky si è scoperto che l’estrema efficacia di FinSpy è già stata sfruttata in passato per compiere furti di informazioni ai danni di diverse realtà in tutto il mondo: ONG internazionali, governi e forze di polizia.
Una delle particolarità dello spyware FinSpy è che i suoi creatori possono decidere di adattare il comportamento malevolo del tool al target o ad un gruppo di target specifici. Le ultime versioni sono anche più complesse da rilevare.
Per infettare con successo i dispositivi con sistema operativo Android o iOS, gli aggressori hanno però bisogno di accedere fisicamente allo smartphone o ad un dispositivo sul quale è già stato effettuato il Jailbreak o il rooting. Ciò può avvenire sia con una momentanea sottrazione dello smartphone al legittimo proprietario oppure sfruttando tre possibili vettori di infezione:
- gli SMS,
- le e-mail,
- le notifiche push.
FinSpy: analisi del comportamento su iOS
La versione dello spyware FinSpy che prende di mira iOS colpisce dispositivi con iOS 11 e versioni precedenti del sistema operativo Apple.
Dopo aver infettato il dispositivo, il malware è in grado di effettuare anche la registrazione delle chiamate VoIP tramite applicazioni esterne come Skype o WhatsApp. I ricercatori Kaspersky hanno però osservato che tale funzionalità è stata ottenuta sfruttando la piattaforma Cydia Substrate, per cui FinSpy può essere installato solo su dispositivi jailbroken (iPhone o iPad; iPod non è stato confermato) compatibili con iOS 11 e inferiori.
Al momento non sono state osservate infezioni su sistemi iOS 12, ma i ricercatori Kaspersky sono riusciti a isolare i file binari di FinSpy per due diverse architetture di CPU: ARMv7 e ARM64. Tenendo conto che iOS 11 è la prima versione di iOS che non supporta più ARMv7, si presume che la versione a 64 bit sia stata realizzata per colpire dispositivi con versioni successive a iOS 11.
Il processo di installazione di FinSpy sul dispositivo iOS target prevede diverse fasi. In primo luogo, uno script shell controlla la versione del sistema operativo ed esegue il corrispondente file binario in formato Mach-O: install64 (versione a 64 bit) per iOS 11+, altrimenti install7 (versione a 32 bit).
All’avvio, il binario dell’installatore esegue un controllo sulla configurazione del dispositivo per verificare anche la presenza del Cydia Subtrate: se non è disponibile, scarica i pacchetti richiesti dal repository Cydia e li installa usando lo strumento dpkg.
Dopodiché, installati i vari componenti necessari al suo funzionamento, l’installer di FinSpy imposta i permessi necessari al suo corretto funzionamento. I ricercatori Kaspersky hanno quindi individuato i seguenti moduli necessari per la raccolta di dati sensibili della vittima:
- .hdutils: serve per accedere e memorizzare i messaggi SMS in arrivo;
- .chext: serve per estrarre informazioni dalle applicazioni di messaggistica;
- keys: gestisce l’attività di keylogging;
- .vpext: registra le chiamate VoIP.
Terminata anche questa fase, i file temporanei di installazione vengono cancellati.
La persistenza dello spyware nel sistema viene garantita aggiungendo il comando plist con le necessarie istruzioni di avvio al percorso /Library/LaunchDaemons.
Tutti i parametri sensibili della configurazione (come l’indirizzo del server C2, i numeri di telefono per la ricezione dei messaggi SMS/MMS dal server di controllo e comando e così via) sono memorizzati nel file 84C.dat o in PkgConf, che si trova in un percorso del modulo principale.
A questo punto, FinSpy consente all’attaccante un monitoraggio quasi illimitato delle attività effettuate dalla vittima sul dispositivo.
FinSpy: analisi del comportamento su Android
La variante Android di FinSpy ha funzionalità simili a quella per iOS. A differenza di questa, lo spyware per il sistema operativo mobile di Google è in grado di ottenere l’accesso root sfruttando l’exploit DirtyCow che consente agli attaccanti di ottenere il controllo root, quindi con privilegi di amministratore, sui telefoni infetti e già utilizzato in passato per altre app spia come la famosa Exodus.
Come la variante iOS, anche quella Android di FinSpy può essere installata fisicamente e da remoto e, anche in questo caso, fornisce l’accesso a informazioni quali contatti, messaggi SMS/MMS, calendari, posizione GPS, immagini, file in memoria e registrazioni di chiamate telefoniche. Tutti i dati esfiltrati vengono trasferiti all’aggressore tramite messaggi SMS o via Internet.
Difendersi dallo spyware per iOS e Android
I ricercatori di Kaspersky hanno finora rilevato le attività di FinSpy in più di 20 paesi in tutto il mondo, mentre gli sviluppatori sarebbero costantemente al lavoro per aggiornare il loro malware.
“Gli sviluppatori che si celano dietro un sistema come FinSpy monitorano costantemente gli aggiornamenti di sicurezza delle piattaforme mobile e tendono a modificare rapidamente i loro software malevoli per evitare che il loro funzionamento venga bloccato da eventuali risoluzioni dei problemi”, è il commento di Alexey Firsh, Security Researcher di Kaspersky.
“Non solo, – continua l’analista -, seguono anche i trend e implementano le funzionalità per l’estrazione dei dati a seconda dalle applicazioni più popolari del momento. Rileviamo vittime di FinSpy su base giornaliera, quindi è fondamentale prestare attenzione agli ultimi aggiornamenti della propria piattaforma e procedere con la loro installazione, non appena vengono rilasciati. Questo è importante perché, indipendentemente dal livello di sicurezza delle applicazioni in uso e da quello della protezione dei dati, una volta che uno smartphone ha subito il root o il Jailbreak è totalmente esposto alla possibilità di diventare oggetto di spionaggio”.
Per evitare di diventare vittime di FinSpy, è utile seguire questi semplici consigli:
- non lasciare mai lo smartphone o il tablet senza blocco di sicurezza e assicurarsi sempre che nessuno veda il codice di sblocco durante l’inserimento;
- non effettuare il jailbreak o il rooting del dispositivo, perché queste procedure possono facilitare il lavoro di eventuali attaccanti;
- installare le applicazioni mobile solo da app store ufficiali, come Google Play e Apple Store;
- non cliccare su link sospetti ricevuti via SMS o e-mail da contatti sconosciuti;
- bloccare l’installazione di programmi provenienti da fonti sconosciute nelle impostazioni del dispositivo;
- non rivelare la password o il codice di accesso al proprio dispositivo mobile a nessuno, neppure a persone di fiducia;
- scaricare, installare e mantenere aggiornata una soluzione di sicurezza affidabile per i dispositivi mobile.
