ITanalyze

وقتی جاسوس‌افزاری را نه یک برنامه‌نویسِ بدافزار زیرزمینی، بلکه یک شرکت آی‌تی کاملاً حرفه‌ای طراحی می‌کند چه می‌شود؟ نتیجه‌اش می‌شود چیز کثیف و پستی مثل FinSpy (همچنین به آن FinFisher هم می‌گویند) که شرکتی انگلیسی-آلمانی به نام گاما چند وقتی می‌شود توسعه‌اش داده و آن را کاملاً قانونی عرضه کرده است. در طول سال گذشته، این جاسوس‌افزار را روی تعداد زیادی دستگاه موبایل شناسایی کردیم.

نحوه‌ی عملکرد FinSpy

به گزارش روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛گرچه نسخه‌ی دسکتاپیِ این جاسوس افزار وجود دارد (نه تنها برای ویندوز، که حتی برای macOS و Linux) اما خطر بزرگ‌تر از سوی ایمپلنت‌های موبایل است: FinSpy می‌تواند هم روی آی‌او‌اس و هم اندروید نصب شود (با کارایی یکسان در هر دو پلت‌فرم). این اپ به مهاجم اجازه می‌دهد تا نظارتی تقریباً کامل روی اطلاعات دستگاه آلوده داشته باشد. این بدافزار می‌تواند برای هر قربانی به طور جداگانه تنظیم شود؛ بدین‌ترتیب حمله کاملاً شخصی‌سازی می‌شود و تمام اطلاعات شخصی کاربر (شامل کانتکت‌ها، تاریخچه تماس، موقعیت جغرافیایی، پیام‌ها، رویدادهای تقویم و غیره) مورد هدف قرار خواهد گرفت.

اما این همه‌ی ماجرا نیست. FinSpy می‌تواند صداها و تماس‌های VoIP را ضبط کند. همچنین قادر است جریان پیام‌های فوری را متوقف سازد. از دیگر قابلیت‌های FinSpy می‌توان به استراق‌سمع روی بسیاری از سرویس‌های ارتباطی همچون واتس‌اپ، ویچت، وایبر، اسکایپ، لاین، تلگرام و نیز سیگنال و تریما اشاره کرد. علاوه بر پیام‌ها، FinSpy فایل‌های ارسالی و دریافتی توسط قربانیان را در اپ‌های پیام‌رسان استخراج می‌کند و اطلاعات مربوط به گروه‌ها و کانتکت‌ها را نیز درمی‌آورد.

چه کسانی باید از FinSpy بر حذر باشند؟

طریقه‌ی آلوده شدن توسط FinSpy مانند بیشتر انواع بدافزارهاست. بیشتر با سناریوی کلیک روی لینکی در پیام متنی یا ایمیل آلوده شروع می‌شود.

صاحبان دستگاه‌های اندرویدی اغلب بیش از بقیه در منطقه‌ی خطر قرار دارند و اگر گجت‌هایشان روت هم بشود تازه کار بدافزار را تسهیل نیز می‌کند. با این حال، اگر کاربر دسترسی روت نداشته باشد اما روی اسمارت‌فونش اپ روتینگ نصب شده باشد (مثل وقتی که برای نصب برخی اپ‌های دیگر نیاز به حقوق ابرکاربر است) FinSpy می‌تواند آن را استخراج کند تا به روت دسترسی پیدا کند. حتی اگر اسمارت‌فونی روت نشده و هیچ اپ روتینگ هم در آن نصب نشده باشد، باز این جاسوس‌افزار می‌تواند با استفاده از اکسپلویت DirtyCow به روت دسترسی پیدا کند.

کاربران اپل در این بخش کمی شانس آورده‌اند؛ نسخه‌ی iOS این جاسوس‌افزار نیاز به سیستم جیلبریک دارد. اگر به طور اتفاقی صاحب آیفون/آیپد از قبل این کار را کرده بود، دستگاه می‌تواند مثل یک دستگاه اندرویدی آلوده شود. اما اگر چنین نباشد، مهاجم باید برای دسترسی فیزیکی به دستگاه، آن را به صورت دستی جیلبریک نموده و بعد FinSpy را نصب کند.

 چطور ایمن بمانیم؟

برای اینکه قربانی FinSpy یا جاسوس‌افزارهای مشابه نشوید اقدامات زیر لازم است:

لینک‌های مشکوک داخل ایمیل‌ها، پیام‌های فوری یا پیام‌های متنی را دنبال نکنید.
سعی نکنید روی دستگاه‌هایی که به اطلاعات حساس و حیاتی وصلند دسترسی روت داشته باشید (اندروید) یا جیبلریک کنید (iOS).
از راه‌حل امنیتی مطمئن که قادر است این نوع تهدید را شناسایی کند استفاده کنید؛ صاحبان آیفون باید در نظر داشته باشند که متأسفانه هنوز چنین راه‌حلی برای پلت‌فرم iOS ارائه نشده است.  

منبع: کسپرسکی آنلاین