Want create site? With Free visual composer you can do it easy.

Peneliti keamanan telah menemukan bahwa unduhan sah dari beberapa aplikasi populer termasuk WhatsApp, Skype, VLC Player dan WinRAR telah disusupi di tingkat ISP untuk mendistribusikan spyware FinFisher yang terkenal yang juga dikenal sebagai FinSpy.

FinSpy adalah alat pengawasan rahasia yang sebelumnya telah dikaitkan dengan perusahaan Gamma Group Inggris, sebuah perusahaan yang secara legal menjual perangkat lunak pengawasan dan spionase ke instansi pemerintah di seluruh dunia.

Spyware FinFisher memiliki kemampuan mata-mata yang luas pada komputer yang terinfeksi, termasuk diam-diam melakukan pengawasan langsung dengan menyalakan webcam dan mikrofon, merekam semua keystroke dengan keylogger, mencegat panggilan Skype, dan mengeksfiltrasi file.

Untuk masuk ke mesin target, FinFisher biasanya menggunakan berbagai vektor serangan, termasuk spear phishing, pemasangan manual dengan akses fisik ke perangkat, eksploitasi zero-day, dan serangan watering hole.

Kemungkinan Besar ISP Membantu Hacker Untuk Memata-Matai Target

Namun, sebuah laporan baru yang diterbitkan hari ini oleh ESET mengklaim bahwa para perisetnya telah menemukan kampanye pengintaian baru yang memanfaatkan varian baru FinFisher di tujuh negara, yang disertakan dengan aplikasi yang sah.

Tapi bagaimana ini terjadi? Penyerang menargetkan korban menggunakan serangan man-in-the-middle (MitM), di mana penyedia layanan internet (ISP) kemungkinan besar beroperasi sebagai “middle man” – membundel unduhan perangkat lunak yang sah dengan FinFisher.

Kami telah melihat vektor ini digunakan di dua negara di mana sistem ESET mendeteksi spyware FinFisher terbaru (di lima negara yang tersisa, kampanye mengandalkan vektor infeksi tradisional),” kata para periset.

Dokumen yang diterbitkan sebelumnya oleh WikiLeaks mengindikasikan bahwa pembuat FinFisher juga menawarkan sebuah alat yang disebut “FinFly ISP,” yang seharusnya digunakan di tingkat ISP dengan kemampuan yang diperlukan untuk melakukan serangan MitM semacam itu.https://wikileaks.org/spyfiles4/documents/FinFly-ISP-Catalog.pdf

Selain itu, teknik infeksi (menggunakan pengalihan HTTP 307) diimplementasikan dengan cara yang sama di dua negara yang terkena dampak menjadi sasaran varian baru FinFisher. Namun, ESET tidak menyebutkan nama negara-negara yang terkena dampak “karena tidak membahayakan siapa pun.”

Fakta lain yang mendukung serangan MitM tingkat ISP adalah bahwa semua target yang diidentifikasi terpengaruh oleh peneliti di suatu negara menggunakan ISP yang sama.

Akhirnya, metode dan format pengalihan yang sama telah digunakan untuk penyaringan konten internet oleh penyedia layanan internet di setidaknya satu dari negara-negara yang terkena dampak,” lapor ESET.

Aplikasi populer yang ditargetkan oleh varian baru dari FinFisher termasuk WhatsApp, Skype, VLC Player, Avast dan WinRAR, dan periset ESET mengatakan, “hampir semua aplikasi dapat disalahgunakan dengan cara ini.”

Inilah Cara Kerja Penyerangannya:

Ketika pengguna target mencari salah satu aplikasi yang terpengaruh di situs web yang sah dan mengeklik tautan unduhannya, browser mereka menyajikan URL yang dimodifikasi, yang mengarahkan korban ke paket instalasi trojan dari server penyerang.

Hal ini menyebabkan pemasangan versi aplikasi sah yang dimaksudkan digabung dengan alat pengintai.

Pengalihan dilakukan dengan link download yang sah diganti dengan yang berbahaya,” kata periset tersebut. “Tautan berbahaya dikirim ke browser pengguna melalui kode tanggapan status HTTP 307 Temporary Redirect yang menunjukkan bahwa konten yang diminta telah dipindahkan untuk sementara ke URL baru.

Seluruh proses pengalihan ini, menurut para periset, “tak terlihat oleh mata telanjang” dan terjadi tanpa sepengetahuan pengguna.

FinFisher Memanfaatkan Banyak Trik Baru

Trik baru yang digunakan oleh versi terbaru dari FinFisher membuatnya tidak terlihat oleh para periset.

Para periset juga mencatat bahwa versi terbaru FinFisher menerima beberapa perbaikan teknis dalam hal stealthiness, termasuk penggunaan virtualisasi kode kustom untuk melindungi sebagian besar komponennya seperti driver kernel-mode.

Ini juga menggunakan trik anti-disassembly, dan banyak trik anti-sandboxing, anti-debugging, anti-virtualisasi dan anti-emulasi, yang bertujuan untuk mengkompromikan perangkat lunak enkripsi end-to-end dan alat privasi yang dikenal.

Salah satu aplikasi pesan yang aman tersebut, yang disebut Threema, ditemukan oleh para peneliti saat mereka menganalisis kampanye baru-baru ini.

Spyware FinFisher menyamar sebagai file eksekusi bernama ‘Threema’. File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi, karena aplikasi Threema menyediakan pesan instan yang aman dengan enkripsi end-to-end,” kata periset.

Ironisnya, tertipu untuk men-download dan menjalankan file yang terinfeksi akan mengakibatkan pengguna pencari privasi dimata-matai.

Did you find apk for android? You can find new Free Android Games and apps.