Una investigación de la empresa de seguridad informática Kaspersky encontró que el malware espía FinSpy, también conocido como FinFisher, ha sido actualizado y está en funcionamiento en el mundo, con nuevos ataques detectados en al menos 20 países desde finales de 2018.

En 2014, el hacker Phineas Phisher logró vulnerar la seguridad de la compañía Gamma Group, productora de FinFisher, y liberó las especificaciones de sus herramientas incluyendo FinSpy. A pesar de que se dio por muerto al programa, la empresa lo actualizó y mejoró cifrando algunas de sus funciones con el objetivo de infectar teléfonos inteligentes con Android y iOS.

Estas nuevas versiones de FinSpy son capaces de recolectar y filtrar una gran diversidad de datos personales de dispositivos infectados, como SMS/MMS, correos electrónicos, calendarios, localización de GPS, imágenes, fotografías e información sobre la memoria del teléfono, además de grabar llamadas de teléfonos e incluso mandar imágenes y mensajes, informó ZDNet.

Una de las principales características de estas nuevas versiones del malware es que sus desarrolladores han rehecho parte de su código añadiendo cifrado para ocultar su rastro y hacer más difícil su detección y hacerlo más complejo para su análisis, de acuerdo con Kaspersky.

“Los desarrolladores detrás de FinSpy monitorean constantemente las actualizaciones de seguridad para plataformas móviles y tienden a cambiar sus programas maliciosos para evitar su operación y ser bloqueadas por esas mejoras”, aseguró Alexey Firsh, un investigador en seguridad de Kaspersky a CyberScoop.

Para infectar a los dispositivos en iOS, los vectores a través de SMS, correo electrónico y WAP Push solo funcionan si el dispositivo fue hackeado (jail break), por lo que si no ha pasado por este proceso, la única forma de infectarlo es con acceso físico.

En cambio, para infectar un dispositivo Android, FinSpy buscará aprovecharse de herramientas como SuperSU y Magisk o utilizar un exploit conocido como DirtyCow para tener privilegios de superusuario o root.

Kaspersky ha documentado ataques de estas nuevas versiones en al menos 20 países, incluyendo una docena de infecciones en Myanmar. Aunque no se sabe cuántos ataques ha habido en el mundo, los investigadores sospechan que pueden ser muchos más de los conocidos, debido a la amplia cartera de clientes que ha tenido Gamma, quien originalmente comercializaba FinSpy, incluyendo países como México, Uganda y Etiopía.

Gamma respondió a CyberScoop en un correo asegurando que el reporte de Kaspersky era erróneo y que había dejado de vender ese producto en 2012, la empresa FinFisher, que supuestamente se independizó en 2013 no respondió a preguntas hechas por el medio.


Imagen intermedia de NetzPolitik.org, imagen de portada de Privacy International