O FinSpy, também conhecido como FinFisher ou Wingbird, é um spyware (tipo de malware usado para espionagem) composto por um conjunto poderoso de ferramentas de vigilância. Capaz de espionar praticamente tudo dentro da máquina e de coletar diversas informações de usuário, o FinSpy foi atualizado para controlar computadores desde o sistema de boot.
Ou seja, ele age naquele processo de inicialização de uma máquina até o carregamento do sistema operacional, fazendo com que nem a formatação do computador resolva o problema.
Desde o boot
A nova capacidade do FinSpy é de infectar o bootkit da interface UEFI (Interface Unificada de Firmware Extensível) e substituir o bootloader do Windows por uma variante maliciosa para carregar o spyware. A interface de firmware UEFI é uma melhoria em relação ao sistema básico de entrada/saída (BIOS) com suporte para inicialização segura. Ela age na integridade do sistema operacional para garantir que nenhum malware interfira no processo de inicialização.
Como a UEFI também facilita o carregamento do próprio sistema operacional, as infecções de bootkit são resistentes à reinstalação do SO ou mesmo à formatação ou substituição da mídia – trocar o drive, seja disco rígido ou SSD. Além disso, elas são imperceptíveis para as soluções de segurança em execução no sistema operacional.
Um malware que dribla a segurança
Ao contrário das versões anteriores do FinSpy, que continham o cavalo de Tróia no aplicativo infectado imediatamente, a Kaspersky descobriu que as amostras de agora são protegidas por dois componentes: um pré-validador não persistente e um pós-validador.
Segundo o relatório da Kaspersky, “o primeiro componente executa várias verificações de segurança para garantir que o dispositivo que está infectando não pertence a um pesquisador de segurança. Somente quando as verificações são aprovadas, o componente pós-validador é fornecido pelo servidor”.
“Esse componente garante que a vítima infectada seja a vítima. Só então o servidor comandaria a implantação da plataforma de Trojan completa”, segue o relatório.
O FinSpy apresenta quatro obscurecedores complexos feitos sob medida para retardar a análise do spyware. Além disso, o trojan é capaz de usar o modo de desenvolvedor em navegadores para interceptar o tráfego protegido com o protocolo HTTPS.
Persistência em espionar
“As infecções por UEFI são muito raras e geralmente difíceis de executar, mas se destacam por sua evasão e persistência”, afirmam Igor Kuznetsov e Georgy Kucherin, pesquisadores da Kaspersky. Os especialistas em segurança consideram o FinSpy “um dos spywares mais difíceis de detectar até hoje”.
O FinSpy é trabalhado para coletar credenciais de usuário, listagens de arquivos, documentos confidenciais, gravar pressionamentos de tecla, desviar mensagens de e-mail. Além disso, o spyware é capaz de interceptar chats, chamadas e arquivos transferidos e capturar áudio e vídeo por meio de microfone e webcam de uma máquina.
Não foram hackers que inventaram isso. É malware profissionalmente desenvolvido pela empresa anglo-alemã Gamma International, sendo fornecido exclusivamente para agências de segurança pública e inteligência. Uma lista que inclui regimes autoritários como os do Egito e do Bahrein – só entre os que são conhecidos. Por isso, a empresa é alvo de denúncias de entidades de direitos humanos.