FinSpy: de ultieme spionage-tool

FinSpy-spyware richt zich op gebruikers van Android, iOS, macOS, Windows en Linux. Hier leest u hoe u zich ertegen beschermt.

Op Kaspersky’s recente Security Analyst Summit presenteerden onze experts een gedetailleerd rapport over FinSpy-spyware (ook wel FinFisher) en de distributiemethoden ervan, waaronder enkele voorheen onbekende. U kunt hier meer over lezen in de post op Securelist. In dit artikel gaan we na wat voor malware FinSpy is en hoe u zich ertegen kunt beschermen.

Wat is FinSpy (FinFisher)?

FinSpy, een commercieel spywareprogramma dat wereldwijd wordt gebruikt door wetshandhavings- en overheidsinstanties, verscheen in 2011 voor het eerst op de radar van onderzoekers, toen er documenten over verschenen op WikiLeaks. De broncode verscheen online in 2014, maar het verhaal van FinSpy eindigde daar niet: Na een herontwikkeling en tot op de dag van vandaag, blijft de malware apparaten over de hele wereld infecteren.

FinSpy is veelzijdig, met versies voor computers die op Windows, macOS en Linux draaien, evenals voor mobiele apparaten met Android en iOS. De mogelijkheden variëren afhankelijk van het platform, maar in alle gevallen gebruikt de malware verschillende middelen om bundels gegevens heimelijk naar zijn handlers te zenden.

Hoe FinSpy zich verspreidt

De spyware heeft verschillende manieren om Windows-machines te infiltreren.

Hij kan zich bijvoorbeeld verbergen in geïnfecteerde distributiepakketten, waaronder installatieprogramma’s voor onder andere TeamViewer, VLC Media Player en WinRAR. Door de gemodificeerde applicatie te downloaden en installeren, wordt er een infectieketen in gang gezet die uit meerdere stappen bestaat.

Bovendien vonden onze onderzoekers de malware-loader in componenten die vóór het besturingssysteem worden geladen: UEFI (Unified Extensible Firmware Interface, de interface waarmee het besturingssysteem met de hardware communiceert) en MBR (Master Boot Record, nodig om Windows op te starten). Hoe dan ook, door gewoon de computer op te starten wordt FinSpy geïnstalleerd.

Een smartphone of tablet kan FinSpy oppikken via een link in een sms. In sommige gevallen (bijvoorbeeld als de iPhone van het slachtoffer niet jailbroken is) heeft de aanvaller mogelijk fysieke toegang tot het apparaat nodig, wat de taak enigszins bemoeilijkt. Ook lijkt het erop dat de aanvallers fysieke toegang nodig hebben om Linux-machines te infecteren, maar dat kunnen we niet met zekerheid zeggen.

Welke gegevens steelt FinSpy?

FinSpy heeft uitgebreide mogelijkheden om gebruikers te controleren. De pc-versies van de malware kunnen bijvoorbeeld:

  • De microfoon aanzetten en alles wat hij hoort opnemen of verzenden;
  • Alles wat de gebruiker op het toetsenbord typt in realtime opnemen of uitzenden;
  • De camera aanzetten en beelden opnemen of verzenden;
  • Bestanden stelen waar de gebruiker mee werkt: openen, wijzigen, afdrukken, ontvangen, verwijderen, enzovoort;
  • Screenshots maken of een gedeelte van het scherm vastleggen waar de gebruiker klikt;
  • E-mails stelen van de clients Thunderbird, Outlook, Apple Mail en Icedove;
  • Contacten, chats, gesprekken en bestanden in Skype onderscheppen.

Bovendien kan de Windows-versie van FinSpy VoIP-gesprekken afluisteren, certificaten en encryptiesleutels voor bepaalde protocollen onderscheppen, en forensische gegevensverzamelingstools downloaden en uitvoeren. Daarnaast kan de Windows-versie van FinSpy BlackBerry-smartphones infecteren, dus zelfs dat inmiddels exotische platform wordt niet over het hoofd gezien.

De mobiele versies van FinSpy kunnen gesprekken (spraak of VoIP) beluisteren en opnemen, tekstberichten lezen en de activiteit van gebruikers in instant messaging-apps zoals WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal en Threema in de gaten houden. De mobiele spyware stuurt de operatoren ook een lijst van de contacten van het slachtoffer, gesprekken, kalendergebeurtenissen, geolocatiegegevens en nog veel meer.

Hoe u FinSpy ontloopt

Helaas is het niet gemakkelijk om u volledig te beschermen tegen spyware van overheidsniveau. Dit gezegd zijnde, kunt u wél enkele voorzorgsmaatregelen nemen tegen FinSpy en andere surveillance-apps:

  • Download alleen apps van betrouwbare bronnen, of het nu om mobiele of desktop- of laptopprogramma’s gaat. Bovendien, Android-gebruikers moeten de installatie van onbekende bronnen verbieden om hun kansen op infectie te verminderen;
  • Stop en denk na voordat u op links in e-mails en berichten van onbekenden klikt. Als u toch klikt, controleer dan eerst goed waar de link u naartoe leidt;
  • Laat uw smartphone of tablet niet jailbreaken; Android-rooting en iOS-jailbreaking maken inbraken veel gemakkelijker;
  • Laat apparaten niet onbeheerd achter op plekken waar vreemden er toegang tot hebben;
  • Installeer betrouwbare beveiligingsprogramma's op al uw apparaten.

Tips