FinSpy: la herramienta de espionaje definitiva

El spyware FinSpy ataca a los usuarios de Android, iOS, mac OS, Windows y Linux. Te decimos qué puede hacer y cómo puedes protegerte.

En la reciente Security Analyst Summit de Kaspersky, nuestros expertos presentaron un informe detallado sobre el spyware FinSpy (también conocido como FinFisher) y sus métodos de distribución, incluidos algunos que antes eran desconocidos. Puedes leer más sobre sus hallazgos en la publicación de Securelist. Mientras tanto, en este artículo exploramos el tipo de malware que es FinSpy y cómo puedes protegerte.

¿Qué es FinSpy (FinFisher)?

Es un programa de spyware comercial utilizado por las agencias del orden público y gubernamentales en todo el mundo. FinSpy apareció por primera vez en el radar de los investigadores en 2011, cuando documentos relacionados con este aparecieron en WikiLeaks. El código fuente apareció en línea en el 2014, pero la historia de FinSpy no termina ahí: Después de que fue desarrollado nuevamente y hasta la fecha, el malware sigue infectando los dispositivos en todo el mundo.

FinSpy es versátil, cuenta con versiones para computadoras con Windows, mac OS y Linux, así como para los dispositivos móvil con Android y iOS. Sus capacidades varían dependiendo de la plataforma, pero en todos los casos, el malware emplea varios medios para transmitir conjuntos de datos sobre ellos de forma encubierta a sus controladores.

¿Cómo se esparce FinSpy?

El spyware tiene varias formas de filtrarse en las máquinas con Windows.

Por ejemplo, se puede ocultar en paquetes de distribución infectados, incluidos los instaladores para TeamViewer, VLC, Media Player, WinRar, entre otros. Descargar y ejecutar la aplicación modificada pone en marcha una cadena de infección de varios pasos.

Además, nuestros investigadores encontraron el malware loader en componentes que cargan antes del sistema operativo: UEFI (interfaz de firmware extensible unificada, la interfaz mediante la cual el sistema operativo se comunica con el hardware) y MBR (registro de arranque maestro, necesario para iniciar Windows). De cualquier forma, el simple arranque de la computadora instala FinSpy.

Un smartphone o tablet puede infectarse con FinSpy mediante un enlace en un mensaje de texto. En algunos casos (por ejemplo, si el iPhone de la víctima no tiene jailbreak), es posible que el atacante necesite acceso físico al dispositivo, lo que podría complicar la tarea. De igual forma, parece que el acceso físico es necesario para que los atacantes infecten las máquinas con Linux, pero no podemos asegurarlo.

¿Qué datos roba FinSpy?

FinSpy cuenta con amplias capacidades de supervivencia del usuario. Por ejemplo, las versiones de PC del malware pueden:

  • Encender el micrófono y grabar o transmitir todo lo que escuche.
  • Registrar o transmitir en tiempo real todo lo que el usuario teclea.
  • Encender la cámara y grabar o transmitir las imágenes.
  • Robar los archivos con los que el usuario interactúa: accesos, modificaciones, impresiones, recepciones, eliminaciones, etc.
  • Tomar capturas de pantalla o captura una sección de la pantalla en la que hace clic el usuario.
  • Robar correos electrónicos desde los clientes de Thunderbird, Outlook, Apple Mail y Icedove.
  • Interceptar contactos, conversaciones, llamadas y archivos en Skype.

También, la versión de Windows en FinSpy puede escuchar las llamadas VoIP, interceptar certificados y claves de cifrado para ciertos protocolos, y descargar y ejecutar herramientas de recopilación de datos forenses. Además de todo esto, la versión de Windows en FinSpy puede infectar los smartphone BlackBerry, de manera que esta plataforma ahora exótica no se pasa por alto.

En lo que respecta a las versiones móviles de FinSpy, estas pueden escuchar y registrar llamadas (de voz o VoIP), leer mensajes de texto, y supervisar la actividad del usuario en las aplicaciones de mensajería instantánea como WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal y Threema. El spyware móvil también envía a los operadores una lista de los contactos, llamadas, eventos del calendario, datos de geolocalización y mucho más información de la víctima.

Cómo evitar FinSpy

Desafortunadamente, no es fácil protegerte por completo contra el spyware de nivel gubernamental. Pero sí puedes tomar precauciones contra FinSpy y otras aplicaciones de vigilancia:

  • Descarga aplicaciones solo de fuentes de confianza, ya sea para móvil o para programas de equipos de escritorio o laptops. Los usuarios de Android también deben prohibir la instalación de orígenes desconocidos para reducir la probabilidad de infección.
  • Detente y piensa antes de hacer clic en los enlaces en correos electrónicos y mensajes de desconocidos. Si debes hacer clic, primero revisa con cuidado a dónde te lleva el enlace.
  • No realices jailbreak a tu smartphone o tablet; hacer root en Android y jailbreak en iOS facilita las intrusiones.
  • No dejes tus dispositivos desatendidos en donde personas desconocidas podrían tener acceso a ellos.
  • Instala protección de confianza en todos tus dispositivos.
Consejos