你确定所下载的WhatsApp、Skype或VLC播放器是安全的吗
安全研究员发现多款流行app的装置包下载可能已在互联网效劳供给商层面遭进犯,并被用于传达臭名昭著的FinFisher监控软件(也被称为FinSpy)。FinSpy是一款秘密监控东西,此前曾被指跟英国公司Gamma Group有关。该公司将监控和特务软件出售给全球各国政府。它具有多种监控功能,包括打开摄像头和麦克风秘密展开实时监控、记录受害者的所有按键、拦截Skype通话并提取文件。
为了入侵方针机器,FinFisher通常会使用多种进犯向量,包括鱼叉式钓鱼进犯、物理拜访设备后手动装置、利用0day缝隙、发动水坑式进犯等。
互联网供给商或许无意之中也在帮助
ESET公司发布一份报告指出,研究人员在7个国家中发现了利用FinFisher新变种的新型监控活动,它跟一款app进行了绑定。
这一切是如何发作的?进犯者发动中间人进犯,而互联网供给商就很可能充当“中间人”的角色行将合法软件下载跟FinFisher绑定。研究人员指出其间两个国家使用了这种技能,而其余五个国家依靠的仍然是传统的感染向量。
维基解密此前在公布的文档中也指出,FinFisher制造者也供给了一种名为 “FinFly ISP”的东西,它应该是布置于互联网效劳供给商处,其间含有履行中间人进犯所需的功能。
别的,这两个经过中间人进犯受感染的国家也适用HTTP 307重定向技能。不过ESET并未公布这两个国家的身份,“以便任何人不会处于风险境地”。
证明存在互联网效劳供给商等级中间人进犯的别的一个事实是,在某个国家所有受影响方针都使用相同的互联网效劳供给商。
FinFisher新变种针对的流行app包括WhatApp、Skype、VLC播放器、Avast和WinRAR,而ESET公司的研究人员指出,“实际上任何应用程序都可能以这种方法被绑定。”
进犯如何运作
当方针用户在合法站点上查找合法app并点击下载链接时,浏览器会收到一个经修改的URL,能让受害者重定向至保管在进犯者效劳器上的受木马感染的装置包。结果导致合法app绑定了监控东西。
研究人员指出,“重定向是经过将合法下载链接替换为恶意链接完成的。这个恶意链接经过HTTP 307暂时重定向状态响应代码传达到用户的浏览器,这说明被请求的内容已暂时转移到新的URL中。”
研究人员指出,整个重定向进程“无法被肉眼所见”,并且用户对此毫不知情。
FinFisher利用多种新功能
最新版本的FinFisher应用了新技能,让研究人员难以发现它的踪影。研究人员还发现最新版本有多种隐秘技能改进内容,包括使用自定义代码虚拟化来保护首要组件如内核模式驱动器。
它还使用反反汇编技能以及多种反沙箱、反调试、反虚拟化和反模仿技能,旨在进犯端对端加密软件和已知的隐私信息东西。
这种状况可从一款加密通讯类app中验证。FinFisher监控软件伪装成一个可履行文件Threema。这类文件可用于进犯注重隐私的用户,由于合法的Threema app经过端对端加密供给了安全的即时通讯功能。但具有讽刺意味的是,如果下载并运转受感染文件,则会导致用户遭监控。
Gramma Group尚未就ESET报告作出回应。
发表评论