你確定所下載的WhatsApp、Skype或VLC播放器是安全的嗎
安全研究員發(fā)現(xiàn)多款流行app的裝置包下載可能已在互聯(lián)網(wǎng)效勞供給商層面遭進犯，并被用于傳達臭名昭著的FinFisher監(jiān)控軟件（也被稱為FinSpy）。FinSpy是一款秘密監(jiān)控東西，此前曾被指跟英國公司Gamma Group有關(guān)。該公司將監(jiān)控和特務(wù)軟件出售給全球各國政府。它具有多種監(jiān)控功能，包括打開攝像頭和麥克風秘密展開實時監(jiān)控、記錄受害者的所有按鍵、攔截Skype通話并提取文件。
為了入侵方針機器，F(xiàn)inFisher通常會使用多種進犯向量，包括魚叉式釣魚進犯、物理拜訪設(shè)備后手動裝置、利用0day縫隙、發(fā)動水坑式進犯等。

互聯(lián)網(wǎng)供給商或許無意之中也在幫助
ESET公司發(fā)布一份報告指出，研究人員在7個國家中發(fā)現(xiàn)了利用FinFisher新變種的新型監(jiān)控活動，它跟一款app進行了綁定。

這一切是如何發(fā)作的？進犯者發(fā)動中間人進犯，而互聯(lián)網(wǎng)供給商就很可能充當“中間人”的角色行將合法軟件下載跟FinFisher綁定。研究人員指出其間兩個國家使用了這種技能，而其余五個國家依靠的仍然是傳統(tǒng)的感染向量。
維基解密此前在公布的文檔中也指出，F(xiàn)inFisher制造者也供給了一種名為 “FinFly ISP”的東西，它應(yīng)該是布置于互聯(lián)網(wǎng)效勞供給商處，其間含有履行中間人進犯所需的功能。
別的，這兩個經(jīng)過中間人進犯受感染的國家也適用HTTP 307重定向技能。不過ESET并未公布這兩個國家的身份，“以便任何人不會處于風險境地”。
證明存在互聯(lián)網(wǎng)效勞供給商等級中間人進犯的別的一個事實是，在某個國家所有受影響方針都使用相同的互聯(lián)網(wǎng)效勞供給商。
FinFisher新變種針對的流行app包括WhatApp、Skype、VLC播放器、Avast和WinRAR，而ESET公司的研究人員指出，“實際上任何應(yīng)用程序都可能以這種方法被綁定。”進犯如何運作
當方針用戶在合法站點上查找合法app并點擊下載鏈接時，瀏覽器會收到一個經(jīng)修改的URL，能讓受害者重定向至保管在進犯者效勞器上的受木馬感染的裝置包。結(jié)果導(dǎo)致合法app綁定了監(jiān)控東西。
研究人員指出，“重定向是經(jīng)過將合法下載鏈接替換為惡意鏈接完成的。這個惡意鏈接經(jīng)過HTTP 307暫時重定向狀態(tài)響應(yīng)代碼傳達到用戶的瀏覽器，這說明被請求的內(nèi)容已暫時轉(zhuǎn)移到新的URL中。”
研究人員指出，整個重定向進程“無法被肉眼所見”，并且用戶對此毫不知情。
FinFisher利用多種新功能
最新版本的FinFisher應(yīng)用了新技能，讓研究人員難以發(fā)現(xiàn)它的蹤影。研究人員還發(fā)現(xiàn)最新版本有多種隱秘技能改進內(nèi)容，包括使用自定義代碼虛擬化來保護首要組件如內(nèi)核模式驅(qū)動器。
它還使用反反匯編技能以及多種反沙箱、反調(diào)試、反虛擬化和反模仿技能，旨在進犯端對端加密軟件和已知的隱私信息東西。
這種狀況可從一款加密通訊類app中驗證。FinFisher監(jiān)控軟件偽裝成一個可履行文件Threema。這類文件可用于進犯注重隱私的用戶，由于合法的Threema app經(jīng)過端對端加密供給了安全的即時通訊功能。但具有諷刺意味的是，如果下載并運轉(zhuǎn)受感染文件，則會導(dǎo)致用戶遭監(jiān)控。
Gramma Group尚未就ESET報告作出回應(yīng)。