FinSpy是由德国Gamma Group公司制造的间谍软件,通过其在英国的子公司Gamma Group International向全球的政府和执法机构出售,被用于在各类平台上收集用户的私人信息。维基解密在2011年对用于桌面设备的FinSpy植入程序做了首次分析,次年分析了用于移动设备的FinSpy。从那时起,卡巴斯基开始不断检测到FinSpy在野新版本的出现。遥测数据显示,在过去的一年里,有几十种类型的移动设备都遭到过FinSpy的感染,而最近一次活动记录是在缅甸,于2019年6月发现。
2018年年末,卡巴斯基研究了最新版本的FinSpy植入程序(于2018年年中时创建),主要是iOS和Android版本,发现它们在功能上几乎是相同的,能够收集个人详细数据,如联系人、短信/彩信、电子邮件、日历、GPS定位、照片、内存中的文件、电话录音和当前一些流行的通讯软件的数据。
恶意软件特性
iOS版
iOS版的FinSpy能够监控设备上的几乎所有活动,包括Skype或WhatsApp等外部应用的网络通话记录,还有像Threema, Signal和Telegram等加密的通讯工具的数据。由于监控是通过利用Cydia Substrate的钩子功能来实现的,因此植入程序只能安装在iOS 11及更低版本的越狱设备(iPhone或iPad,iPod尚未确认)上(iOS 12之上的版本还未观察到)。
植入程序包含的二进制文件用于两种CPU构架:ARMv7和ARM64。考虑到iOS 11是首个不再支持ARMv7的iOS版本,我们猜想64位版本是为支持iOS 11以上的版本而制作的。
对于iOS用户,FinSpy没有利用漏洞感染,它似乎轻微调整过,能清除越狱工具的痕迹。因此,攻击者只有物理访问才能对设备越狱。对于已越狱设备,至少有三种感染途径:SMS短信、电子邮件和WAP推送,其中任何一个都可以从FinSpy代理运营商的终端发送。
安装应用程序的过程包括几个步骤:首先,shell脚本检查操作系统版本并执行相应的Mach-O二进制文件——“install64”(64位版本)用于iOS 11+,反之使用“install7”(32位版本)。启动时,安装程序二进制文件执行环境检查,包括Cydia Subtrate的可用性检查,如果它不可用,将从Cydia存储库下载所需的软件包,并使用“dpkg”工具进行安装。之后,安装程序执行一些路径准备和程序包解包,从硬编码列表中随机选择框架和应用程序的名称,在目标系统上部署组件并设置必要的权限。部署过程完成后,将启动守护程序并删除所有临时安装文件。
持久性是通过在/ Library / LaunchDaemons路径中添加带有启动指令的“plist”来实现的。
配置的所有敏感参数(例如C2服务器地址,C2电话号码等)都存储在文件“84C.dat”或“PkgConf”中,文件位于主模块的捆绑路径,可以使用操作命令重写它们。此文件名在以前的FinSpy版本中有用于包括Android在内的其它平台。
以下列表是分析的FinSpy版本的所有模块:
模块中的所有内部字符串,包括安装程序,都使用一个简单的基于xor的算法加密,使用以下字符串作为密钥:“NSString”、“NSArray”、“NSDictionary”、“ExtAudioFileRef”。
核心植入模块(“FilePrep”)包含7828个功能,它能控制其它所有模块,以及处理HTTP、SMS heartbeat和其他服务功能。组件之间的通信通过两种方式实现,第一个使用系统的CPDistributedMessagingCenter,第二个是接收数据请求的本地HTTP服务器。
模块“.hdutils”能掩盖设备上植入程序活动的痕迹,过程如下:首先,它负责所有SMS消息的处理工作,解析、查找特定内容的文本,并隐藏此类消息的通知;然后通过CPDistributedMessagingCenter(操作系统中现有消息传递工具的封装器,使用简单的消息和字典在不同进程之间提供服务端到客户端的通信)将它们发送到核心模块;还有一个隐藏特性是钩子“CLCopyAppsUsingLocation”函数,以从Settings的地理定位服务的应用程序列表中删除核心植入模块。
模块“.chext”以通讯应用程序为目标,通过挂钩其功能以泄露几乎所有可访问的数据,包括:消息内容、照片、地理位置、联系人、组名等等。主要针对以下应用程序:
· Facebook Messenger(com.facebook.Messenger);
· Wechat(com.tencent.xin);
· Skype(com.skype.skype/com.skype.SkypeForiPad);
· Threema(ch.threema.iapp / ch.threema.iapp.ThreemaShareExtension);
· InMessage(com.futurebits.instamessage.free);
· BlackBerry Messenger(com.blackberry.bbm1);
· Signal(org.whispersystems.signal)。
收集的数据将提交给主模块部署的本地服务器。
模块“keys”侧重于不同类型的键盘记录活动,有多个钩子拦截每个键入的符号,还有几个钩子可以拦截键入的解锁密码以及更改密码过程。截获的密码将提交到本地服务器上的“keys.html”页面,类似于“.chext”模块。
模块“MediaEnhancer”用于挂接与呼叫处理相关的“mediaserverd”守护进程中的系统功能,以记录呼叫。该模块初始化后在端口8889上启动本地HTTP服务器实例,将VoIPHTTPConnection实现为自定义连接类,该类包含一个处理程序,用于处理其他组件发出的对localhost/ ip.html的请求。
模块“.vpext”里有50多个用于外部通讯应用程序的钩子,用于处理VoIP呼叫,应用程序包括:
· WhatsApp;
· LINE;
· Skype (包括独立的Skype for iPad版);
· Viber;
· WeChat;
· KakaoTalk;
· BlackBerry Messenger;
· Signal。
这些钩子会对处理VoIP呼叫的函数作修改以进行记录。为了实现这一点,它们将带有呼叫元信息的post请求发送到HTTP服务器(先前由的MediaEnhancer组件部署)。PHP大马
Android版
Android版具有与iOS版本类似的功能,且能够通过滥用植入程序中携带的DirtyCow漏洞获得unrooted设备的root权限。FinSpy Android样本已经存在好几年了,据其最新版本的证书显示,该样本于2018年6月部署。
Android版在功能上不太可能有太大的改变,因为新旧版本中的大多数配置参数都是相同的,而各式各样的可用设置也使得为每个受害者量身定制成为可能,例如操作人员可以选择首选通信渠道,或在受害者处于漫游模式时自动禁用数据传输。需要先把Android设备的所有配置数据(包括控制服务器的位置)都嵌入到FinSpy中,但操作人员也可以远程更改某些参数。配置数据以压缩格式存储,并在植入的apk的assets目录中分解为一组文件。在提取所有数据并构建完配置文件后,就可以获取所有配置值。配置文件中的每个值都存储在其大小的little-endian值之后,并且设置类型存储为散列。
在配置文件中可以找到以下设置:移动目标ID、代理IP地址、代理端口、用于远程SMS控制的电话号码,以及植入程序的唯一标识符。
与iOS一样,攻击者既可以物理访问设备,手动安装,也可以通过SMS消息、电子邮件和WAP推送之类的远程媒介感染。成功安装后,应用程序会通过检查是否存在已知的“生根”模块SuperSU和Magisk,如存在则运行借以获得root权限;如不存在,则会解密并执行位于恶意软件内部的DirtyCow漏洞。成功获得root访问权限后,应用程序会注册自定义SELinux策略以获得对设备的完全访问权限并维护root访问权限。如果应用程序使用的是SuperSU,则会修改SuperSU首选项以使其静音,禁用其期限,并将它配置为在引导期间自动运行,还会删除所有可能的日志,包括SuperSU日志。
应用程序提供了对联系人、短信/彩信、日历、GPS定位、图片、内存文件和通话记录等信息的访问。所有被窃取的数据都通过SMS消息或互联网传输给攻击者(C2服务器位置存储在配置文件中)。而像联系人、信息、音频和视频在内的个人数据可以从当前流行的一些通讯软件中窃取。每个目标消息传递器都有自己的统一处理模块,新的处理程序也很容易地添加。
完整的硬编码通讯软件列表如下所示:
应用程序首先会检查目标通讯软件是否安装在设备上(使用硬编码的包名),并授予根访问权,之后准备好通讯软件的数据库进行数据过滤,在必要情况下还可使用储存于私钥目录内的私钥解密,任何所需资料均可很简单地查询:
所有媒体文件和有关用户的信息也被过滤。
基础设施
FinSpy应用程序由FinSpy代理(操作终端)控制。默认情况下,所有植入程序都连接到Gamma Group提供的FinSpy匿名代理(也称为FinSpy Relays),这样做是为了隐藏FinSpy Master的真实位置。一旦受感染的目标系统在线显示,它就会向FinSpy代理发送心跳,FinSpy代理转发目标与主服务器之间的连接。FinSpy主服务器管理所有目标和代理并存储数据。基于解密的配置文件,我们能够找到受害者使用的不同中继及其地理位置。我们发现的大多数继电器集中在欧洲,还有一些在东南亚和美国。
结论
FinSpy移动程序是具有多种功能的高级恶意间谍工具,而Gamma Group在其产品中提供的各种配置功能,也使得FinSpy终端的操作人员能够针对特定受害者定制恶意行为并进行监视,还能清除自身的敏感数据,例如GPS位置、联系人、呼叫信息、通讯软件和设备间的数据等。奇热影视
Android版本具有通过滥用已知漏洞在unrooted设备上获得root权限的功能;至于iOS版本,Gamma的解决方案似乎没有为其客户提供感染漏洞,因为他们的产品似乎经过了微调,能清除公开可用的越狱工具的痕迹。这可能意味着在设备尚未越狱的情况下,可以对受害者进行物理访问。同时,我们还观察到了之前没有发现过的多个功能。
自2014年FinSpy暴露在公众视野以来,Gamma Group已经重新创建了它的重要部分,还扩展了支持功能(例如,支持的即时通讯软件列表已经大大扩展),同时改进了加密和混淆,使之更难以分析检测。这些做法都稳固了FinSpy在市场中的地位。
总体而言,在研究期间,有近20个国家检测到FinSpy的在野最新版本。但是,假设Gamma的客户群规模很大,那么受害者的实际数量可能要高得多。
FinSpy开发人员正在不断研究其恶意软件的更新。发表这篇文章时,卡巴斯基的研究人员已经发现了另一种版本的威胁,目前正在调查此案。