FinSpy теперь нацелен и на пользователей Mac и Linux

Хотя ранее FinSpy было нацелено на пользователей Windows, iOS и Android, исследователи обнаружили в этих кампаниях новые варианты, нацеленные на пользователей MacOS и Linux.

FinSpy — это полноценный программный пакет для наблюдения, который имеет возможность:

• Перехватывать сообщения жертв.
• Получать доступ к личным данным.
• Записывать аудио и видео.

Он используется правоохранительными и государственными органами по всему миру с 2011 года.

Однако недавно исследователи обнаружили ранее не использовавшиеся образцы FinSpy, которые появились с октября 2019 года. Эти образцы включают Jabuka.app – вариант FinSpy для macOS, а также PDF – вариант FinSpy для Linux.

О шпионском ПО FinSpy

FinSpy «функционирует» с 2011 года, однако в последние годы исследователи заметили кампании, в которых шпионское ПО использовало более инновационные подходы.

В марте 2019 года Amnesty International опубликовала отчет, в котором анализируются фишинговые атаки, направленные на египетских правозащитников, сотрудников СМИ и общественные организации. Эти атаки, осуществленные группой, известной как «NilePhish», распространяли образцы FinSpy для Microsoft Windows через поддельный веб-сайт загрузки Adobe Flash Player.

В июне 2019 года исследователи Kaspersky заявили, что они видели новые экземпляры шпионского ПО в телеметрии компании, включая активность, зафиксированную в Мьянме в прошлом месяце. По данным Kaspersky, за последний год с помощью нового вида вредоносного ПО было заражено несколько десятков уникальных мобильных устройств (Android и iOS).

Новая версия FinSpy

Исследователи Amnesty International заявили, что новый FinSpy для macOS «использует довольно сложную цепочку заражения системы, и разработчики приняли меры, чтобы усложнить ее анализ».

Образец уникален тем, что все его двоичные файлы обфускируются с помощью LLVM-обфускатора с открытым исходным кодом, который был разработан исследовательской группой в 2013 году. Однако, по словам Патрика Уордла, исследователя безопасности в Jamf, обфускацию легко обойти.

После загрузки сначала шпионское ПО проверяет, работает ли оно на виртуальной машине (ВМ). В противном случае он расшифровывает ZIP-архив, который содержит установщик и двоичные файлы для повышения привилегий (в том числе тот, который использует ошибку в macOS X, а другой – с эксплойтом Python для CVE-2015-5889 , который существует в компоненте remote_cmds в Apple OS X).

Файл «PDF» для систем Linux представляет собой короткий сценарий, содержащий закодированные двоичные файлы для 32- и 64-разрядной версии операционной системы.

Варианты вредоносного ПО как для macOS, так и для Linux включают большой список модулей с функциями кейлоггинга, планирования и записи экрана. У них также есть возможность кражи электронных писем и данных о сетях Wi-Fi.