FinSpy (又名FinFisher)能夠對Android、iOs、macOS、Windows和Linux用戶進行間諜行為,透過部份前所未見的散播方法,令用戶難以防範,以下的文章將會瞭解FinSpy是怎樣的惡意程式,從而學習自保的方法。
甚麼時FinSpy (FinFisher)?
FinSpy是一款被全球多國政府機構和執法部門所使用的商業間諜程式,早在2011年被研究人員發現,相關文件於維基解密內曝光,其原始碼則在2014年被披露,但FinSpy並沒有停止運作,在重新開發後,這惡意程式繼續在世界各地感染裝置。
FinSpy十分「多才多藝」,能夠在Windows、macOS和Linus電腦上運作,而且在兩大流動裝置平台Android和iOS也沒有任何障礙,它的功能因平台而異,但無論在哪個平台,它都會利用不同方式把他們的數據包傳送。
傳播方法
這款間諜程式有數種方法感染Windows裝置,例如它能隱藏在TeamViewer、VLC播放器、WinRAR和其他合法應用程式的安裝工具上,下載和執行這些經修改的應用程式會進入了惡意程式的感染鏈之中。
此外,研究人員發現惡意程式的loader元件會在操作系統之前讀取UEFI和MBR,簡單來形容即是開啟電腦然後安裝間諜程式。智能電話或平板可以通過短訊連結作為傳播媒界,如果裝置沒有「越獄」,攻擊者便可能需要物理地接解裝置,某程度上增加了複雜性,而Linux裝置也看似需要物理接觸,暫時研究人員也無法肯定。
盜取的資料
FinSpy有豐富的用戶監控能力,例如PC版的話惡意程式能夠:
- 開啟咪高峰並記錄和傳輸所以錄的的聲音
- 即時記錄和傳輸用戶在鍵盤上輸入的內容
- 開啟攝影機並記錄和傳輸拍得的圖像
- 盜取用戶曾存取、修改、列怎、接收和刪除等資料
- 在用戶點擊滑鼠的畫面進行截圖
- 從Thunderbird、Outlook、Apple Mail和Icedove客端盜取電郵
- 在Skype截取通訊錄、聊天、通話和檔案
此外,在Windows版本的FinSpy能夠竊聽VoIP通訊,截取據證和加密金鑰,並下載及執行搜證數據收集工具,而且Windows版的FinSpy也能夠感染BlackBerry智能手機,即使是小眾客戶群也沒有「看漏」。
流動版的FinSpy能夠接聽和記錄聲音和VoIP,讀取短訊和監視用戶在即時通訊軟件上的活動,當中包括WhatsApp、WeChat、Viber、Skype、Line、Telegram、Signal和Threema,流動版也會向操作員發送受害者的通訊錄、通話紀錄、活動日曆、位置資料等等。
如果避免FinSpy
很不幸,用戶要自我防護來自國家級的間諜行為並不容易,但也能注意FinSpy和其他間諜應用程式:
- 不論是流動、desktop或laptop程式,只在可靠的來源下載應用程式,而Android也要設定禁止安裝不明來歷資源的設定,以減低感染風險。
- 在點擊陌生人發送的電郵或短訊的連結前,先停一停想清楚,如果必需點擊,前先檢查該連結會導向的目的地。
- 不要「越獄」和Root智能電話來方便對方感染你的裝置
- 不要物理地讓陌生人接觸到你的裝置
- 安裝可靠的防護方案
資料來源:Kaspersky Blog
