导航菜单

PC、苹果、安卓通吃!揭秘超级网络间谍软件FinSpy

澳门凯旋门开户注册

c22d8b2548ca41fe9f54bef18a39d2e7

FinSpy是德国公司Gamma Group开发的间谍软件,通过其英国子公司Gamma International Gamma Group出售给全球各地的政府和执法机构。

FinSpy可用于在各种平台上收集有关用户的各种信息。维基解密在2011年发现并披露了FinSpy的桌面版本,并在2012年发现了其移动设备版本。

最近,卡巴斯基实验室发布了一份报告,指出在过去的一年中,有数十种移动设备被FinSpy感染,最新的iOS和Android版本于2018年末出现。

在功能上,iOS版本与Android版本几乎相同,它收集有关用户的信息,例如联系人,短信/彩信,电子邮件,日历,GPS位置,照片,内存文件,电话录音和来自的数据。一些流行的聊天软件。

此外,卡巴斯基实验室还表示,FinSpy最近于今年6月被发现,主要是在缅甸。

卡巴斯基实验室表示,FinSpy iOS版可以监控几乎所有设备活动,包括通过Skype或WhatsApp等外部应用程序记录VoIP呼叫。监控的目标应用程序包括一些即时消息软件,如Threema,Signal和Telegram。

但是,这一功能是通过利用Cydia Substrate的挂钩功能实现的。换句话说,iOS版本的FinSpy只能安装在运行iOS 11及更低版本的越狱设备(iPhone或iPad)上。安装完成后,它为攻击者提供几乎无限制的设备活动监控。

至于感染媒介,卡巴斯基实验室表示至少有三种可能性:

短信电子邮件WAP推送

安装过程包括几个步骤:

1.首先,shell脚本将检查操作系统版本并为iOS 11执行相应的Mach-O二进制“install64”(64位版本),否则使用“install7”(32位版本)。

2.启动时,安装程序二进制文件执行环境检查,包括Cydia Subtrate可用性检查。如果它不可用,安装程序将从Cydia存储库下载所需的软件包,并使用“dpkg”工具进行安装。

3.之后,安装程序执行一些路径准备和程序包解包,从硬编码列表中随机选择框架和应用程序名称,在目标系统上部署组件以及设置必要的权限。

4.安装完成后,守护程序将启动并删除所有临时安装文件。

另一方面,FinSpy可以通过向“/Library/LaunchDaemons”路径添加带有start命令的“plist”来长时间驻留在受感染的设备上。

FinSpy配置的所有敏感参数(例如C2服务器地址,C2电话号码等)都存储在文件“84C.dat”或“PkgConf”中,该文件位于主模块的包路径中。

如下图所示,它是FinSpy的所有模块及其功能。

eb1354d3b5d94910b7215d4f39349e88

其中,核心模块(“FilePrep”)包含7,828个函数,负责控制所有其他模块。模块之间的通信有两种实现方式:第一种是使用系统的CPDistributedMessagingCenter;第二个是接收数据请求的本地HTTP服务器。

456dc089868d463f84446d5727b84ef1

模块“.chext”用于监控聊天软件,包括窃取消息内容,照片,地理位置,联系人,群组名称等。目标聊天软件如下:

Facebook Messenger(com.facebook.Messenger)WeChat(com.tencent.xin)Skype(com.skype.skype/com.skype.SkypeForiPad)Threema(ch.threema.iapp/ch.threema.iapp.ThreemaShareExtension)InMessage(com .futurebits.instamessage.free)Blackberry Messenger(com.blackberry.bbm1)Signal(org.whispersystems.signal)

模块“.vpex”实现了超过50个VoIP调用的挂钩,用于外部消息传递应用程序处理,包括:

WhatsAppLINESkypeViber WeChat KakaoTalkBlackBerry MessengerSignal

这些挂钩可以修改处理VoIP呼叫的功能,以便记录它们。

FinSpy Android版本具有与iOS版本类似的功能,并且能够通过利用DirtyCow漏洞获得对设备的root访问权限,其中一个漏洞至少在2018年6月仍在使用。

c5232abdca13416d8adfced116b1d6c0

FinSpy Android版配置数据存储为压缩文件,并提取到apk资源目录中的一组文件中。提取完所有数据并构建配置文件后,所有配置值都可用。配置文件中的每个值都存储在其大小的little-endian值之后,并且设置类型存储为散列。

535f4ac5bbab4e0586bcdd3b604e65f6

与iOS版本一样,FinSpy Android版感染媒介还包括:短信,电子邮件和WAP推送。安装成功后,它将首先检查SuperSU和Magisk的根模块是否存在。如果它们存在,它们将运行以尝试获取设备的root权限;如果它们不存在,它们将解密并执行其中包含的DirtyCow漏洞利用代码以获得root权限。

FinSpy Android版可以窃取联系人,短信/彩信,日历,GPS位置,图片,存储卡上的文件和电话记录等信息,并通过短信或互联网将此信息上传给攻击者(C2服务器地址为存储在其配置文件中)。

此外,FinSpy Android版还可以从一些流行的聊天软件窃取数据,包括联系人,消息,音频和视频,以及针对的聊天软件如下:

f25e7b49042a48309a26389d07009f44

首先,FinSpy检查设备上是否安装了目标聊天软件(取决于硬编码的安装包名称)并授予root访问权限。之后,来自目标聊天软件的数据被盗,包括所有媒体文件和关于用户的信息。

2c1143634f0a4d2ca420b5bb780b454a

FinSpy由FinSpy Agent(操作终端)控制。默认情况下,无论哪个版本连接到Gamma Group提供的FinSpy匿名代理(也称为“FinSpy Relays”),这都是为了隐藏FinSpy Master的真实位置。

95a127eb12e64d7e8f03e5fb3416fb49

一旦受感染的系统上线,它就会向FinSpy代理发送心跳心跳包。 FinSpy代理负责转发目标与主服务器之间的连接,而FinSpy主服务器负责管理所有目标和代理以及存储数据。

卡巴斯基实验室发现,FinSpy的大多数中继服务器都集中在欧洲,有些位于东南亚和美国。

FinSpy是一个具有多种功能的超级间谍软件工具。 Gamma Group在其产品中提供的各种配置功能使FinSpy Agent运营商能够针对特定目标组自定义配置,以实现目标监控。

由于FinSpy源代码于2014年泄露,Gamma Group重新创建了其产品的关键部分,扩展了其支持的功能(例如,从更多聊天软件中窃取数据的能力),同时改进了代码加密。混乱使得FinSpy更难以发现。

总体而言,卡巴斯基实验室迄今已在近20个国家/地区检测到最新版本的FinSpy,并且仍在推出新版本。在卡巴斯基实验室最新报告发布前夕,该实验室的研究人员发现了另一个目前正在分析的FinSpy版本。

本文由黑客视界集成网络组织,图片来自网络;请注明“从黑客地平线转移”并附上链接。

要了解安全技术,请搜索“墨水学院”或直接进入“