FinSpy，是由德國公司Gamma Group開發的一款間諜軟件，通過其在英國的子公司Gamma International Gamma Group向全球的政府和執法機構出售。

FinSpy可用於在各種平臺上收集有關用戶的各種信息，維基解密（Wikileaks）在2011年發現並披露了FinSpy的桌面版，並在2012年發現了它適用於移動設備的版本。

近日，卡巴斯基實驗室（Kaspersky Lab）在最新發布一份報告指出，在過去的一年裡，有數十種移動設備遭到了FinSpy的感染，並在2018年末出現了最新的iOS和Android版本。

在功能上，iOS版本和Android版本幾乎沒有什麼不同，都能夠收集有關用戶的各種信息，如聯繫人、短信/彩信、電子郵件、日曆、GPS位置、照片、內存中的文件、電話錄音和來自一些受歡迎的聊天軟件的數據。

此外，卡巴斯基實驗室還表示，最近檢測到FinSpy是在今年6月份，主要位於緬甸。

FinSpy iOS版本

卡巴斯基實驗室表示，FinSpy iOS版本能夠監控幾乎所有的設備活動，包括通過外部應用程序（如Skype或WhatsApp）錄製VoIP呼叫。監控的目標應用程序主要包括一些即時通訊軟件，如Threema、Signal和Telegram。

不過，這種功能是通過利用Cydia Substrate的掛鉤功能來實現的。也就是說，iOS版本的FinSpy只能安裝在運行iOS 11及更低版本的越獄設備（iPhone或iPad）上。在安裝完成後，能為攻擊者提供幾乎無限制的設備活動監控。

至於感染媒介，卡巴斯基實驗室表示至少有三種可能：

• 短信息
• 電子郵件
• WAP推送

安裝過程包含多個步驟：

1.首先，一個shell腳本會檢查操作系統版本並執行相應的Mach-O二進制文件——“install64”（64位版本）用於iOS 11，否則就使用“install7”（32位版本）。

2.啟動時，安裝程​​序二進制文件會執行環境檢查，包括Cydia Subtrate可用性檢查。如果它不可用，安裝程序將從Cydia存儲庫下載所需的軟件包，並使用“dpkg”工具進行安裝。

3.之後，安裝程序會執行一些路徑準備和程序包解包，從硬編碼列表中隨機選擇框架和應用程序的名稱，在目標系統上部署組件並設置必要的權限。

4.安裝完成後，守護程序將啟動，並刪除所有臨時安裝文件。

另一方面，FinSpy之所以能夠長時間駐留在受感染設備上，是通過在“/Library/LaunchDaemons”路徑中添加帶有開始指令的“plist”來實現的。

FinSpy配置的所有敏感參數（如C2服務器地址、C2電話號碼等）都存儲在文件“84C.dat”或“PkgConf”中，位於主模塊的包路徑下。

如下圖所示，是FinSpy的所有模塊及其功能。

其中，核心模塊（“FilePrep”）包含7828個函數，負責控制其他所有模塊。模塊之間的通信以兩種方式實現：第一種是使用系統的CPDistributedMessagingCenter；第二種是接收數據請求的本地HTTP服務器。

模塊“.chext”被用於監控聊天軟件，包括竊取消息內容、照片、地理位置、聯繫人、組名等，所針對的聊天軟件如下所示：

• Facebook Messenger（com.facebook.Messenger）
• 微信（com.tencent.xin）
• Skype（com.skype.skype/com.skype.SkypeForiPad）
• Threema（ch.threema.iapp / ch.threema.iapp.ThreemaShareExtension）
• InMessage（com.futurebits.instamessage.free）
• BlackBerry Messenger（com.blackberry.bbm1）
• Signal（org.whispersystems.signal）

模塊“.vpex”實現了與50多個用於外部消息應用處理的VoIP呼叫的掛鉤，包括：

• WhatsApp
• LINE
• Skype
• Viber
• 微信
• KakaoTalk
• BlackBerry Messenger
• Signal

這些鉤子能夠修改處理VoIP調用的函數，以便記錄它們。

FinSpy Android版本

FinSpy Android版本具有與iOS版本類似的功能，且能夠通過利用DirtyCow（髒牛）漏洞獲得設備的root權限，其中一個版本至少在2018年6月仍在被使用。

FinSpy Android版本的配置數據以壓縮文件的形式存儲，並在apk的assets目錄中解壓為一組文件。在提取所有數據並構建配置文件後，就可以獲得所有配置值。配置文件中的每個值都存儲在其大小的little-endian值之後，而設置類型存儲為散列。

與iOS版本一樣，FinSpy Android版本的感染媒介也包括：短消息、電子郵件和WAP推送。成功安裝後，它會首先會檢查root模塊SuperSU和Magisk是否存在。如果存在，則會運行它們來嘗試獲得設備的root權限；如果不存在，則會解密並執行包含在其自身內部的DirtyCow漏洞利用代碼來獲取root權限。

FinSpy Android版本能夠竊取諸如聯繫人、SMS / MMS消息、日曆、GPS位置、圖片、存儲卡上的文件以及電話呼叫記錄之類的信息，並將這些信息通過SMS消息或互聯網上傳給攻擊者（C2服務器地址存儲在其配置文件中）。

另外，FinSpy Android版本同樣能夠竊取來自一些受歡迎的聊天軟件的數據，包括聯繫人、消息、音頻和視頻等，所針對的聊天軟件如下所示：

首先，FinSpy會檢查設備上是否安裝了目標聊天軟件（依靠硬編碼的安裝包名稱），並授予root訪問權限。之後，便會竊取來自目標聊天軟件的數據，包括所有媒體文件和有關用戶的信息。

基礎設施

FinSpy由FinSpy Agent（操作終端）控制。默認情況下，無論什麼版本都會連接到Gamma Group提供的FinSpy匿名代理（也稱“FinSpy Relays”），這樣做是為了隱藏FinSpy Master的真實位置。

一旦受感染系統上線，它就會向FinSpy Proxy發送heartbeat心跳包。FinSpy Proxy負責轉發目標與主服務器之間的連接，而FinSpy主服務器則負責管理所有目標和代理並存儲數據。

卡巴斯基實驗室發現，FinSpy的大多數中繼服務器集中在歐洲，也有一些位於東南亞和美國。

結論

FinSpy是一種具有多種功能的超級間諜工具，Gamma Group在其產品中提供的各種配置功能使得FinSpy終端（FinSpy Agent）操作員能夠針對特定的目標群體進行自定義配置，以進行有針對性的監控。

自2014年FinSpy的源代碼遭到洩漏以來，Gamma Group已經重新創建了其產品的關鍵部分，擴展了其支持的功能（例如，能夠竊取來自更多聊天軟件的數據），同時改進了對代碼加密和混淆，使得FinSpy更加難以被檢測出來。

總體而言，到目前為止卡巴斯基實驗室已經在近20個國家檢測到了FinSpy的最新版本，並且仍有新的版本在不斷推出。就在卡巴斯基實驗室最新報告發布的前夕，該實驗室的研究人員就發現了FinSpy的另一個版本，目前正在對其進行分析。

本文由 黑客視界 綜合網絡整理，圖片源自網絡；轉載請註明“轉自黑客視界”，並附上鍊接。

想了解相關安全技術，請搜索“墨者學院”，或直接訪問“www.mozhe.cn”。