[datensicherheit.de, 10.07.2019] Sicherheitsexperten von Kaspersky haben neue Versionen von „FinSpy“ (auch bekannt als „FinFisher“), einem komplexen, bösartigen Überwachungstool mobiler Geräte, entdeckt. Die neuen Implantate funktionieren sowohl auf iOS- als auch auf Android-Devices, können die Aktivitäten auf fast allen gängigen – auch verschlüsselten – Messaging-Diensten überwachen und ihre Spuren dabei noch besser als bisher verschleiern. Die Angreifer sind dadurch in der Lage, alle Aktivitäten eines Geräts auszuspionieren und sensible Daten wie GPS-Standort, Nachrichten, Bilder, Anrufe und vieles mehr auszulesen.

FinSpy ermöglicht gezielte Überwachungsangriffe

Bei FinSpy handelt es sich um ein äußerst effektives Software-Werkzeug für gezielte Überwachungsangriffe. Weltweit wurden bereits dementsprechende Informationsdiebstähle bei NGOs, Regierungen und Strafverfolgungsbehörden beobachtet. Die verantwortlichen Cyberkriminellen sind dabei in der Lage, das Verhalten jeder bösartigen FinSpy-Variante an eine bestimmte Zielperson oder eine Zielgruppe anzupassen.

Die Grundfunktionalität der Malware umfasst eine nahezu unbegrenzte Überwachung der Geräteaktivitäten: Lokalisierung von Standorten, Einsicht in alle ein- und ausgehenden Nachrichten, Kontakte, auf dem Gerät gespeicherte Medien und Daten gängiger Messaging-Dienste wie WhatsApp, Facebook-Messenger oder Viber. Alle auf diese Weise abgesaugten Daten werden per SMS- oder HTTP-Protokoll an den Angreifer übertragen.

Erweitertes Funktionalitätsspektrum – höheres Angriffspotenzial

Die neuesten bekannten Versionen der Malware verfügen gegenüber ihren Vorgängern über ein größeres Funktionalitätsspektrum und sind nun auch in der Lage, weitere Messaging-Dienste, einschließlich derjenigen, die bisher als „sicher“ galten – etwa Telegramm, Signal oder Threema – zu kompromittieren. Auch bei der Verschleierung der eigenen Spuren gehen sie wesentlich geschickter vor. So kann beispielsweise die iOS-Malware, die auf iOS 11 und ältere Versionen abzielt, nun Anzeichen eines Jailbreaks verbergen, während die neue Version für Android einen Exploit enthält, der Root-Privilegien – also nahezu vollständigen Zugriff auf alle Dateien und Befehle – eines nicht verwalteten Geräts erlangen kann.

Basierend auf den von Kaspersky zur Verfügung stehenden Informationen, benötigen die Angreifer, um sowohl Android- als auch iOS-basierte Geräte erfolgreich zu infizieren, entweder physischen Zugriff auf ein Telefon oder ein bereits „jailbroken“ oder „rooted“ Gerät. Für Geräte, die bereits jailbroken/rooted sind, gibt es mindestens drei mögliche Infektionswege: SMS-, E-Mail- oder Push-Benachrichtigungen.

Cyberkriminelle reagieren hochflexibel

„Die Entwickler von FinSpy überwachen ständig Sicherheitsupdates für mobile Plattformen und modifizieren ihre Schadprogramme in der Regel sehr schnell, um zu verhindern, dass der Betrieb durch Fehlerbehebungen blockiert wird“, sagt Alexey Firsh, Sicherheitsforscher bei Kaspersky. „Darüber hinaus folgen sie Trends und implementieren Funktionen, um Daten aus derzeit beliebten Anwendungen abzugreifen. Wir registrieren täglich Opfer solcher FinSpy-Kompromittierungen. Deshalb lohnt es sich, stets auf die neuesten App- und Plattform-Updates zu achten und sie sofort nach deren Veröffentlichung zu installieren. Denn unabhängig davon, wie vermeintlich sicher bestimmte Anwendungen und die darin verarbeiteten Daten geschützt sind, ist ein Smartphone weitestgehend offen für Spionage, sobald dessen Zugriffrechte unrechtmäßig durch Dritte erworben oder alle Restriktionen hinsichtlich bestehender Zugriffsrechte entfernt wurden.“

Kaspersky-Tipps zur Vermeidung einer FinSpy-Infizierung

• Smartphone oder Tablett nicht entsperrt lassen und stets sicherstellen, dass niemand den PIN bei der Eingabe einsehen kann.
• Geräte nicht jailbreaken oder rooten, da dies die Arbeit eines Angreifers erleichtert.
• Mobile Anwendungen nur aus offiziellen App-Stores, etwa Google Play, installieren.
• Niemals verdächtigen Links, die von unbekannten Nummern geschickt wurden, folgen.
• In den Geräteeinstellungen die Installation von Programmen aus unbekannten Quellen blockieren.
• Passwörter oder Codes auf dem Endgerät nicht offenlegen, auch nicht für Vertrauenspersonen.
• Niemals unbekannte Dateien oder Anwendungen auf dem eigenen Gerät speichern, da sie den Schutz der Privatsphäre beeinträchtigen könnten.
• Eine leistungsstarke Sicherheitslösung für mobile Geräte.

Weitere Informationen zum Thema:

Securelist
New FinSpy iOS and Android implants revealed ITW

datensicherheit.de, 09.07.2019
Visual und Audible Hacking: Unterschätzte Gefahren im Zug

datensicherheit.de, 15.02.2019
Überwachungstechnologie: Globale Regulierung gefordert

datensicherheit.de, 26.01.2018
FinFisher: ESET-Whitepaper bietet neue Einblicke in Spyware-Kampagne

[datensicherheit.de, 26.01.2018] ESET-Forschern solle es nach eigenen Angaben gelungen sein, eine detaillierte Analyse der berüchtigten Spyware „FinFisher“ vorzunehmen – dies sei die erste derartige Untersuchung seit 2010. Das „eCrime-Unternehmen“ hinter dieser Spyware tue einiges, um die Funktionsweise von „FinFisher“ zu verschleiern und das Geschäft im Wert von mehreren Millionen Dollar zu schützen. Die Ergebnisse der Analyse wurden als ESET-Whitepaper publiziert.

Spyware-Entwickler unternahmen große Anstrengungen

Seit 2010 hätten die Entwickler dieser Spyware enorme Anstrengungen unternommen, um solche Analysen zu verhindern und die Funktionsweise von „FinFisher“ zu kaschieren. Die ESET-Forscher hätten daher zunächst diverse Sicherheits- und Verschleierungsbarrieren durchbrechen müssen.
„Das Unternehmen hinter ,FinFisher‘ hat ein Geschäft im Wert von mehreren Millionen Dollar um die Spyware herum aufgebaut. Daher überrascht es nicht, dass die Entwickler große Anstrengungen unternehmen, um die Software so gut es geht zu verschleiern und vor Analysen zu schützen – mehr als es Cyber-Kriminelle normalerweise tun“, erläutert Thomas Uhlemann, „Security Specialist“ bei ESET.

In Zukunft noch bessere Abwehrmechanismen zu erwarten

In Zukunft werde eine Untersuchung der Spyware vermutlich noch schwieriger werden. Uhlemann: „Den Entwicklern stehen zahlreiche Ressourcen zur Verfügung. Diese werden sie nutzen, um ,FinFisher‘ mit noch besseren Abwehrmechanismen auszustatten.“
Bereits im September 2017 habe ESET berichtet, dass ,FinFisher‘ an Behörden und Regierungen auf der ganzen Welt verkauft worden sei und mutmaßlich zahlreiche Internet-Service-Provider an der Verbreitung dieser Spyware beteiligt gewesen seien.

Weitere Informationen zum Thema:

ESET Research Whitepapers, January 2018
ESET’S GUIDE TO DEOBFUSCATING AND DEVIRTUALIZING FINFISHER / Author: Filip Kafka

WeLiveSecurity, 25.01.2018
FinFisher: ESET gibt Einblicke in Überwachungskampagne / von Robert Lipovsky und Filip Kafka

datensicherheit.de, 20.02.2011
Keine Entwarnung: Bedrohung durch personalisierte Spyware-Angriffe über Soziale Netzwerke weiter aktuell