Kaspersky uzmanları gelişmiş zararlı izleme aracı FinSpy’ın yeni sürümlerini keşfetti. Yeni sürümler iOS ve Android cihazlarında çalışıyor ve şifrelenmiş olanlar da dahil, neredeyse tüm mesajlaşma servislerindeki hareketleri izleyebiliyor. Yeni sürümler ayrıca izlerini eskisinden de iyi gizliyor. Bu araç saldırganlara cihazdaki tüm faaliyetleri izleme ve GPS, konum, mesajlar, resimler ve aramalar gibi hassas verileri çalma olanağı veriyor.
Hedefli izleme için son derece etkili bir araç olan FinSpy, daha önceleri uluslararası STK’lar, kamu kurumları ve emniyet teşkilatlarından bilgi çalmak için kullanılmıştı. Bu aracı kullananlar, belirli grupları hedef almak için FinSpy sürümlerinde değişiklik yapabiliyor.
Zararlı yazılımın temel işlevi cihazdaki faaliyetlerin neredeyse tamamını izlemek. Bunlar arasında coğrafi konum, tüm gelen ve giden mesajlar, kişiler, cihazda saklanan medya dosyaları ve WhatsApp, Facebook messenger veya Viber gibi popüler mesajlaşma servislerindeki veriler yer alıyor. Çalınan tüm veriler SMS mesajları veya HTTP protokolü ile saldırganlara ulaşıyor.
Zararlı yazılımın bilinen son sürümleri izleme işlevine yeni mesajlaşma servislerini de ekledi. Telegram, Signal ve Threema gibi “güvenli” olduğu düşünülen servisler de artık FinSpy’dan etkileniyor. Bu zararlı yazılımın arkasındaki kişiler şimdi izlerini daha iyi gizliyor. Örneğin, iOS 11 ve daha sonraki sürümleri hedef alan iOS versiyonu jailbreak izlerini gizleyebiliyor. Yeni Android sürümü ise kök yetkileri (root) kapalı olan bir cihazda bile tüm kök yetkilerini alarak cihaz üzerinde neredeyse sınırsız erişime kavuşuyor.
Kaspersky’nin elindeki bilgilere göre, zararlı yazılımın bulaştırılması için saldırganların hem Android hem de iOS tabanlı, jailbreak/root işlemi uygulanmış cihazlara fiziksel erişimi gerekiyor. Jailbreak/root işlemi uygulanmış telefonlar için en az üç olası bulaşma vektörü bulunuyor: SMS mesajı, e-posta veya anlık bildirimler.
Ölçümlere Göre Geçtiğimiz Yıl Düzinelerce Cihaz Etkilendi
Kaspersky Güvenlik Araştırmacısı Alexey Firsh: “FinSpy’ın geliştiricileri mobil platformlardaki güvenlik güncellemelerini yakından takip ediyor ve zararlı programlarını buna göre hızla değiştirerek çalışmalarının durmasını engelliyor. Ayrıca, trendleri de izleyerek popüler olan uygulamalardan veri çalmak için yazılıma yeni işlevler ekliyorlar. FinSpy sürümlerinden etkilenen kurbanlara her gün rastlıyoruz. Bu nedenle en son platform güncellemelerini takip etmek ve çıkar çıkmaz kurmak çok önemli. Kullandığınız uygulamalar ne kadar güvenli olursa olsun, siz verilerinizi korusanız bile telefonunuzda root veya jailbreak işlemi yaptıysanız izlenmeye açıksınız demektir.” dedi.