Há sete países afetados por uma nova campanha que utiliza uma nova variante do FinFisher e, em dois deles, alguns dos principais fornecedores de internet podem estar envolvidos na infeção dos alvos de vigilância.

Os investigadores da ESET, que detetaram as campanhas, explicam que o FinFisher possui amplas capacidades de espionagem, como vigilância em tempo real, através de webcams e microfones, keylogging e exfiltração de arquivos. O que diferencia esta de outras ferramentas de vigilância, no entanto, são as controvérsias em torno das suas implementações: o FinFisher é comercializado como uma ferramenta que auxilia a aplicação da lei, mas, no entanto, acredita-se que seja também utilizado por regimes opressores.

O que os investigadores notam como novo – e mais preocupante – acerca destas novas campanhas, no que diz respeito à distribuição, é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível dos fornecedores de serviço de internet. “Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher”, referem.

As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, WinRAR e o VLC Player. “É importante salientarmos que qualquer aplicação existente no mercado pode ser modificada desta forma”.

O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é servido ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher.