Conoce Atico34 - Solicita presupuesto
Ciberseguridad

FinSpy, un spyware de dudosa ética

Estamos más acostumbrados a relacionar el malware con ataques de grupos cibercriminales, pero también existen empresas que desarrollan ciertos tipos de malware «lícito» o que bordea la legalidad, que venden a gobiernos y fuerzas del orden. Este es el caso del malware que nos ocupa en este artículo, FinSpy.

¿Qué es FinSpy?

FinSpy, también conocido como FinFisher, es un spyware (programa espía) empleado para espiar ordenadores y dispositivos móviles de sus víctimas, puesto que se trata de un tipo de malware muy versátil, con diferentes versiones para infectar ordenadores con Windows, macOs y Linux, así como dispositivos iOS y Android.

Dependiendo de la plataforma infectada, despliega unas capacidades u otras, aunque su principal función es transmitir conjuntos de datos sobre la misma hacia sus controladores.

Más arriba dijimos que se trata de un tipo de malware que bordea la legalidad y esto es así porque estamos ante un spyware comercial, es decir, que hay una empresa que lo desarrolla y pone a la venta. Esta empresa es el grupo anglo-alemán Gamma Group, una compañía tecnológica, que habría vendido FinSpy a diferentes gobiernos en todo el mundo.

Breve historia de FinSpy

FinSpy se detectó por primera vez en 2011, coincidiendo con la Primavera Árabe, un activista de Baréin identificó emails sospechosos que, a través de ingeniería social, trataban de persuadir a sus destinatarios para que descargaran aplicaciones que contenían malware. Este malware permitía a FinSpy acceder a los ordenadores infectados.

En 2014, Gamma Group fue hackeada por un hacktivista bajo el nombre de Phineas Fisher, que filtró 40 GB de información de la firma, entre la que figuraban listas de clientes, lista de precios, el código fuente de FinFisher, detalles sobre su efectividad, documentación, una lista de tutoriales, etc.

Pese a las críticas recibidas por organizaciones en defensa de los derechos humanos, FinSpy renovó su desarrollo y sigue comercializándose e infectando dispositivos en todo el mundo.

Objetivos de FinSpy

El objetivo del virus FinSpy, como los de cualquier spyware, es obtener información y datos de sus víctimas, para que sus controladores puedan darle el uso que deseen, que en la mayoría de los casos, será para controlar los movimientos y acciones de la persona objetivo.

Si pensamos en FinSpy como un spyware usado para perseguir a criminales por parte de las fuerzas y cuerpos de seguridad del Estado, podemos incluso «justificar» su uso para la obtención de pruebas (siempre que se haga dentro de los límites de la legalidad). Sin embargo, el problema con FinSpy y lo que le ha hecho ganar tantas críticas, es que se trata de un malware usado también por regímenes totalitarios, para perseguir y controlar a activistas por los derechos humanos o personas incómodas para dichos regímenes.

En cualquier caso, las herramientas maliciosas que despliega FinSpy empleando técnicas de ingeniería social y explotando vulnerabilidades informáticas, tienen como fin en ordenadores:

  • Acceder, encender el micrófono y grabar o transmitir todo lo que escuche.
  • Registrar todo lo que el usuario teclea en el ordenador.
  • Encender la cámara, grabar y transmitir las imágenes.
  • Robar archivos.
  • Hacer capturas de pantalla completas o de una sección en la que el usuario haya hecho clic.
  • Robar correos electrónicos de Outlook, Apple Mail, Icedove y Thunderbird.
  • Interceptar y espiar llamadas a través de Skype, incluida la intercepción de archivos.

Mientras que en móviles puede:

  • Escuchar llamadas y llamadas de voz por Internet (VoIP).
  • Leer mensajes de texto y espiar la actividad en WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal y Threema.
  • Enviar a sus controladores la lista de contactos, llamadas, eventos del calendario, datos de geolocalización y más información respecto a la víctima almacenada y registrada en el móvil.

¿Cómo funciona FinSpy?

FinSpy se aprovecha de otras aplicaciones legítimas para infectar los equipos de sus víctimas. Lo habitual es que se oculte en paquetes de distribución infectados; hasta ahora se ha detectado en los instaladores para TeamViewer, VLC, Media Player y WinRar, entre otros. Como veis aplicaciones muy populares, que muchísima gente usa en todo el mundo.

Lo único que debe hacer la víctima es descargar una de estas aplicaciones infectadas y ejecutarla para poner en marcha la cadena de infección, mediante la cual, FinSpy acabará instalándose en el equipo. Este spyware cuenta, además, con herramientas para comprobar si el entorno en el que se está descargando e instalando es seguro, es decir, no hay presencia de antivirus o herramientas de análisis de malware. En caso de detectarlo, la infección se elimina y no se termina de instalar.

FinSpy, además, puede «colocarse» en alguno de los componentes que cargan el sistema operativo, como el UEFI y el MBR; el primero es lo que permite que el hardware se comunique con el sistema operativo para que el ordenador pueda ser funcional, y el segundo es el registro de arranque maestro, imprescindible para arrancar Windows.

Esto quiere decir que FinSpy puede instalarse al encender el ordenador, lo que puede hacer que su eliminación sea complicada y requiera un formateo del equipo.

A los dispositivos móviles FinSpy llega habitualmente a través de un enlace en un mensaje de texto; dispositivos a los que se les ha aplicado rooting o jailbreaking parecen ser infectados con más facilidad, si bien hay casos en los que acceder físicamente al iPhone de la víctima es necesario para instalar FinSpy (en este artículo te explicamos cómo borrar malware de Android).

Una vez instalado en el dispositivo de la víctima, FinSpy empezará a transmitir lo que vaya recogiendo a sus controladores.

¿Podemos protegernos de FinSpy?

FinSpy no es un malware del que sea fácil protegerse, puesto que puede llegar camuflado en aplicaciones legítimas de las que no solemos dudar (¿quién no descarga e instala WinRar tras comprar un ordenador o después de un formateo?, ¿o cuántas personas usan VLC como reproductor de vídeo?), sin embargo, hay algunas precauciones que podemos tomar para evitar ser víctimas de este tipo de spyware.

  • Siempre que descarguemos aplicaciones o programas para nuestros dispositivos móviles u ordenadores, debemos hacerlo desde fuentes de confianza u oficiales, preferiblemente introduciendo nosotros la URL del sitio en el navegador y no usando enlaces (que podrían conducirnos a sitios fraudulentos).
  • En esa línea, evitar hacer clic en enlaces de correos o mensajes sospechosos y en caso de abrir esa dirección, revisarla previamente. Y si se trata de una descarga directa, cancelarla.
  • Evitar hacer jailbreak o root en nuestros dispositivos móviles, puesto que estas acciones facilitan las intrusiones.
  • No dejar nuestros portátiles o dispositivos móviles desatendidos en lugares públicos o donde otras personas desconocidas puedan tener acceso a ellos.
  • Tener instalada una solución de seguridad (antivirus, firewall, herramientas de análisis, etc.).
  • Mantener actualizados software y hardware, para evitar vulnerabilidades que puedan ser explotadas.