Spyware có khả năng kiểm soát hoàn toàn các thiết bị iOS hoặc Android....

Spyware của FinFisher có khả năng kiểm soát iOS, Android, Symbian....


Từ Bahrain with Love: Kit Spy FinFisher theo chúng tôi app FinFisher đặc trưng cho các phần mềm độc hại, có nghĩa nó là Spyware, trong một phần của bộ công cụ giám sát thương mại FinFisher, Gamma quốc tế.

Theo các báo cáo ban đầu, Rapid7, một công ty bảo mật có trụ sở tại Boston đưa ra một phân tích theo dõi FinFisher đượckiểm soát (C & C) từ các máy chủ trên năm châu lụ̣c . Sau khi phát hành báo cáo Rapid7, đại diện Gamma quốc tế đã trả lời cho Bloomberg và The New York Times Blog Bits , và phủ nhận rằng các máy chủ được tìm thấy trong 10 quốc gia là máy chủ của sản phẩm FinFisher của họ.

Theo các phân tích này, chúng tôi đã liên lạc với cộng đồng an ninh đối với các mẫu phân tích có khả năng gây nguy hiểm cho các loại điện thoại thông minh. Từ đó, chúng tôi đã xác định được một Trojan của app FinFishe có thể gây hại cho các loại điện thoại di động trên các nền tảng iOS, Android, BlackBerry, Windows Mobile và Symbian.

Theo mô tả từ quảng cáo của sản phẩm này cung cấp:

• Ghi âm và truyền thông các cuộc gọi, tin nhắn SMS / MMS và email
• Giám sát các cuộc gọi
• Download File (Contacts, Calendar, hình ảnh, tập tin)
• Tracing của Quốc gia Target (GPS và Cell ID)
• Ghi đầy đầy đủ các thông tin liên lạc của BlackBerry
• Covert Truyền thông với Trụ sở chính

Ngoài các mẫu phân tích, chúng tôi đang tiêp tục tiến hành quét FinFisher từ máy chủ C & C, và xác định tiềm năng từ các máy chủ khác trong một số quốc gia như: Bahrain, Brunei, the Czech Republic, Ethiopia, Indonesia, Mongolia, Singapore, the Netherlands, Turkmenistan, and the United Arab Emirates (UAE).

Dưới đây là một số hình ảnh minh hoạ Trojans của các loại điện thoại di động.xâm nhập vào các loại thiết bị smartphone khi cài đặt ứng dụng FinFisher.

Đối với iOS

Nó được phát triển cho ARM7 , và được xây dựng với iOS SDK 5.1 trên OSX 10.7.3 và nó chạy trên iPhone 4, 4S, iPad 1, 2, 3, và iPod touch 3, 4 trên iOS 4.0 trở lên.

Bó này được gọi là "install_manager.app" và nội dung của nó là:

99621a7301bfd00d98c222a89900aeef / dữ liệu
1f73ebf8be52aa14d4d4546fb3242728 / _CodeSignature / CodeResources
9273880e5baa5ac810f312f8bd29bd3f / embedded.mobileprovision.
2cbe06c89dc5a43ea0e0600ed496803e / install_manager
23b7d7d024abb0f558420e098800bf27 / PkgInfo.
11e4821d845f369b610c31592f4316d9 / Info.plist.
ce7f5b3d4bfc7b4b0da6a06dccc515f2 / en.lproj / InfoPlist.strings
3fa32da3b25862ba16af040be3451922 / ResourceRules.plist

Điều tra của Mach-0 nhị phân 'install_manager' tiết lộ từ văn bản "FinSpy":



Tham khảo thêm "FinSpy" đã được xác định trong hệ nhị phân:

/Users/adm/Code/development/FinSpyV2/src/iOS/CoreTarget/
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/main.m
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/zip/ioapi.c
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/zip/unzip.c
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/zip/crypt.h
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/zip/zip.c
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/zip/ZipArchive.mm
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/../../../CoreTarget/CoreTarget/GIFileOps.mm
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/../../../CoreTarget/CoreTarget/GIFileOps+Zip.m
/Users/adm/Code/development/FinSpyV2/src/iOS/Installer/install_manager/install_manager/../../../CoreTarget/CoreTarget/GIPath.mm

Điều này tạo ra sự khởi động lại. Nó sẽ khởi động trong quá trình logind, sau đó xóa install_manager.app.
Nó chạy với ID 47 trong quá trình khởi động lại:



SyncData.app exfiltrates base64 mã hóa dữ liệu về các thiết bị (bao gồm số IMEI, IMSI vv) một số di động từ xa.



Quá trình 'logind' cố gắng nói chuyện với một lệnh từ xa và kiểm soát máy chủ, các thông tin cấu hình xuất hiện được lưu trữ ở dạng mã hóa base64 trong "SyncData.app/84C.dat".

Đối với Android

Ứng dụng này sẽ xuất hiện để cài đặt với chính nó như là " Dịch vụ Android ":



Nó yêu cầu các quyền sau đây:

android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.INTERNET
android.permission.READ_PHONE_STATE
android.permission.ACCESS_NETWORK_STATE
android.permission.READ_CONTACTS
android.permission.READ_SMS
android.permission.SEND_SMS
android.permission.RECEIVE_SMS
android.permission.WRITE_SMS
android.permission.RECEIVE_MMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.PROCESS_OUTGOING_CALLS
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.WAKE_LOCK
android.permission.CHANGE_WIFI_STATE
android.permission.MODIFY_PHONE_STATE
android.permission.BLUETOOTH
android.permission.RECEIVE_WAP_PUSH

200 tập tin đầu tiên trong apk được đặt tên là “assets/Configurations/dummsX.dat” trong đó X từ 0-199. Chiều dài các tập tin 0 byte. Các tập tin mục tiêu đề trong file nén bình thường, nhưng các mục tiêu đề thư mục có chứa thông tin cấu hình.

Đối với Symbian

Mẫu của nền tảng Symbian của Nokia được xác định:

1e7e53b0d5fabcf12cd1bed4bd9ac561a3f4f6f8a8ddc5d1f3d2f3e2e9da0116 Symbian.sisx
eee80733f9664384d6bac4d4e27304748af9ee158d3c2987af5879ef83a59da0 mysym.sisx

Các mẫu đầu tiên ("Symbian.sisx") xác định chính nó là "Cập nhật hệ thống" và dường như đã được xây dựng vào ngày 29 tháng 5 năm 2012, 14:20:57 UTC.



Giấy chứng nhận đăng ký jd@[URL="http://gsm.vn/member.php?u=449513"]cyan[/URL] engineeringservices.com . WHOIS thông tin cho thấy www.cyanengineeringservices.com được nặc danh đăng ký (ngày đăng ký lần đầu: 07-Mar-07) với GoDaddy bằng cách sử dụng tên miền By Proxy. Mặc dù nó bao gồm một trang hấp dẫn "Phát triển phần mềm di động" cho "Windows Mobile, iPhone, Android, Symbian và Blackberry," tất cả các liên kết (ví dụ như "Sản phẩm" "About Us" hoặc "Contacts") dẫn đến một "Trang xây dựng ".

Mẫu này có chứa các thành phần sau:



Đối với Blackberry

Các mẫu được xác định có chứa các tập tin sau đây:

rlc_channel_mode_updater.cod
rlc_channel_mode_updater 1.cod
rlc_channel_mode_updater.jad

Các tập tin. Cá tuyết được ký bởi RBB của RIM, RCR, và RRT phím. RBB là viết tắt của "RIM BlackBerry Apps API," cho phép thao tác với các ứng dụng BlackBerry, RCR là viết tắt của "RIM Crypto API, cho phép truy cập đến các thư viện mật mã, và RRT là viết tắt của" RIM Runtime API, cho phép truy cập vào các chức năng điện thoại khác chẳng hạn như gửi tin nhắn SMS.

Quá trình chữ ký được mô tả trong tài liệu của RIM [pdf] về Cơ quan ký kết Blackberry. Đầu tiên, một nhà phát triển đăng ký một khóa công khai với Cơ quan ký kết Blackberry. Để có được một ứng dụng đã ký kết, nhà phát triển gửi một yêu cầu chữ ký (bao gồm cả danh tính của mình và băm một nhị phân) ký với khóa riêng của mình cho Cơ quan ký kết. Cơ quan ký xác nhận rằng người ký được ủy quyền để thực hiện các yêu cầu, và nếu như vậy, trả lời với một bản sao của hash ký kết với RIM tin quan trọng liên quan. Các nhà phát triển sau đó gắn thêm chữ ký để nhị phân của mình.

Các file jad chứa dữ liệu hỏng cho các cod files sau đây:

RIM-COD-SHA1-1: 2ngày 0a a2 b3 54 97 f7 35 fb 40 77 8e e1 ca 7f 8F 3e a0 aa 04
RIM-COD-SHA1: 0f 3b d8 d1 84 da 35 4e 10 94 89 c0 d6 08 70 quảng cáo 5e 7a f3 e0

Các tập tin. Jad cũng chứa một blob của base64 mã hóa dữ liệu với phím dữ liệu này "RIM-Config-COD." Chứa các URL của máy chủ lệnh và kiểm soát, các cổng TCP, số điện thoại để exfiltrate dữ liệu thông qua tin nhắn SMS, định danh cho Trojan và mục tiêu, mô-đun hoạt động, và các thông số cấu hình khác nhau.

Giải mã này cho thấy các máy chủ và số điện thoại sau đây:

118.xx.xx.186 – Indonesia
+6281310xxxxx4 – Indonesia
+49456xxxxx6 – Germany

Sau khi cài đặt, thông tin của màn hình như sau:


Màn hình là bằng chứng, các ứng dụng được liệt kê như sau:


Màn hình hiển thị hiện lên các khoản yêu cầu:




Scrolling down reveals:



Đối với Windows Mobile

Windows Mobile các mẫu chúng tôi đã xác định là:

2ccbfed8f05e6b50bc739c86ce4789030c6bc9e09c88b7c9d41cbcbde52a2455
507e6397e1f500497541b6958c483f8e8b88190407b307e997a4decd5eb0cd3a
1ff1867c1a55cf6247f1fb7f83277172c443442d174f0610a2dc062c3a873778

Tất cả các mẫu xuất hiện tương tự, rất có thể thuộc cùng một chi nhánh phát hành. Các bộ phận có liên quan của nhị phân được lưu trữ trong năm nguồn lực khác nhau:

• Các nguồn tài nguyên đầu tiên chứa một khách hàng OMA Cung cấp file XML, được sử dụng để lưu trữ giấy chứng nhận gốc để chạy mã không có đặc quyền / đặc quyền trên thiết bị. Trong trường hợp này, nó chỉ chứa một số giá trị ví dụ mặc định vận chuyển với Microsoft Windows Mobile SDK.
• Các nguồn tài nguyên thứ hai chứa các tải trọng thực tế giảm, trong đó có tất cả các chức năng Trojan.
• Các nguồn tài nguyên thứ ba chứa một file cấu hình nhị phân.
• Các nguồn lực thứ tư và thứ năm có chứa hai tập tin DLL bổ sung được giảm cùng với tải trọng.

Việc cấy ghép chính bị rơi là "services.exe" với các thư viện giảm như mapiwinarm.dll và mswservice.dll.

Tải trọng này có các thuộc tính sau:

Kích thước:

186.640 bytes
SHA256: 4b99053bc7965262e8238de125397d95eb7aac5137696c7044c2f07b175b5e7c

Đây là một công cụ đa luồng và mô-đun có thể chạy và phối hợp một loạt các sự kiện cung cấp có khả năng ngăn chặn và giám sát. Khi ứng dụng bắt đầu khởi động một chức năng cốt lõi được gọi, chịu trách nhiệm cho việc chuẩn bị thực hiện và đưa ra các chủ đề chính.

Trojan này sử dụng một “Heartbeat Manager”, mà là một tập hợp các chức năng và thói quen đó, tùy thuộc vào tình trạng của thiết bị hoặc các sự kiện theo dõi, liên lạc thông báo và kiểm soát lệnh từ máy chủ.

Những cảnh báo này được gửi theo các sự kiện sau đây:

• Đầu tiên là beacon.
• Khoảng thời gian quy định elapsing.
• Thiết bị có bộ nhớ thấp.
• Thiết bị có pin thấp.
• Các thiết bị thay đổi vị trí vật lý.
• Trojan đã ghi nhận dữ liệu có sẵn.
• Các thiết bị đã kết nối với một mạng di động.
• Thiết bị có một liên kết dữ liệu có sẵn.
• Thiết bị kết nối với một mạng WiFi.
• Bắt đầucuộc gọi đến / đi.
• Mã quốc gia di động (MCC) hoặc mạng di động Mã (MNC) ID thay đổi.
• Trojan đang được gỡ cài đặt.
• Các thay đổi SIM.

Thông báo được gửi qua tin nhắn SMS, 3G và WiFi, theo tình trạng sẵn có. Phù hợp với các nền tảng khác, phiên bản di động các cửa sổ sẽ xuất hiện để sử dụng base64 mã hóa cho tất cả các thông tin liên lạc.

Theo dõi vật lý của thiết bị sử dụng GPS Intermediate Driver với các chức năng có sẵn trên nền tảng di động Windows / CE:


Sau một cuộc gọi GPSOpenDevice () thành công, nó gọi GPSGetPosition () cho phép truy cập đến một cấu trúc GPS_POSITION có chứa các thông tin sau:

DWORD dwSatelliteCount;
DWORD rgdwSatellitesUsedPRNs[GPS_MAX_SATELLITES];
DWORD dwSatellitesInView;
DWORD rgdwSatellitesInViewPRNs[GPS_MAX_SATELLITES];
DWORD rgdwSatellitesInViewElevation[GPS_MAX_SATELLITES];
DWORD rgdwSatellitesInViewAzimuth[GPS_MAX_SATELLITES];
DWORD rgdwSatellitesInViewSignalToNoiseRatio[GPS_MAX_SATELLITES];
} GPS_POSITION, *PGPS_POSITION;

Công việc của Rapid7 khai thác một sự bất thường tạm thời trong FinSpy đưa ra lệnh và kiểm soát từ máy chủ. Các nhà nghiên cứu Rapid7 nhận thấy yêu cầu "Hallo Steffi".từ máy chủ kiểm soát tại Bahrain, thông tin dường như không được đưa ra từ máy chủ của Bahrain, mà từ các máy chủ trong mười quốc gia khác để đáp ứng yêu cầu "Hallo Steffi" tại các thời điểm khác nhau so với tháng trước. Sau khi công bố phân tích Rapid7, thông tin biến mất từ ​​các máy chủ. Và được FinSpy chuyển qua các máy chủ mởi để theo dõi các thiết bị smartphone.

Thông tin chi tiết của các máy chủ giám sát

Bảng 1: máy chủ mới


Bảng 2: Xác nhận máy chủ Rapid7.



Kết luận + Khuyến nghị

Các phân tích chúng tôi nêu trên cho thấy bằng chứng các chức năng trong các tài liệu, danh mục của sản phẩm FinFisher là một Spyware, điều này có liên quan đến một số hình thức cung cấp e-mail hoặc kỹ thuật xã hội khác, khiến người tiêu dùng không nghi ngờ khi sử dụng chương trình này. Hoặc, nó có thể liên quan đến bí mật cài đặt vật lý, cưỡng chế công cụ, hoặc sử dụng các thông tin bất hợp pháp của người dùng từ cài đặt của bên thứ ba.

Chúng tôi khuyên tất cả mọi người nên chạy các phần mềm Anti-Virus, (hợp pháp) và cập nhật chúng thường xuyên, sử dụng khóa màn hình, mật khẩu và mã hóa thiết bị (nếu có). Đừng chạy các ứng dụng không đáng tin cậy và không cho phép các bên thứ ba truy cập vào các thiết bị điện thoại di động của mình.

Chúng tôi đã thông báo một phần nghiên cứu này cho các nhà cung cấp, cũng như các thành viên của cộng đồng AV.

Cảnh báo cho những ai có những thiết bị điện thoại thông minh nên cẩn thận khi cài đặt một ứng dụng thứ ba nếu chưa biết rõ ràng về nó!!!

Tổng hợp tử Recmond Pie và Citizenlab