Правозащитная организация Amnesty International вывила новые версии известной шпионской программы FinSpy производства немецкой компании FinFisher, предназначенные для устройств на базе macOS и Linux. Хотя представители FinFisher заверяют, что технология слежения FinSpy предназначена исключительно для правоохранительных органов, в последние несколько лет продукт неоднократно фигурировал в сообщениях о слежке авторитарных правительств за своими оппонентами, в частности, диссидентами, журналистами и активистами. Подобные кампании наблюдались в Бахрейне, Египте, Эфиопии, Турции, ОАЭ и пр. Полнофункциональная программа FinSpy предназначена для перехвата сообщений, записи видео и аудио с компьютеров и мобильных устройств, а также кражи частной информации.
В рамках изучения одной из кампаний хакерской группировки NilePhish специалисты Amnesty International обнаружили ранее неизвестные варианты FinSpy для Linux и macOS, а также инфраструктуру для распространения Windows-варианта шпионской программы, замаскированного по Adobe Flash Player.
Образцы, созданные в период между апрелем и ноябрем 2019 года, хранились на сервере, не связанном с NilePhish и, скорее всего, принадлежащим другому оператору шпионского ПО. Как отмечается, macOS-вариант обладает сложной модульной архитектурой и способен получать доступ с правами суперпользователя с помощью ряда эксплоитов. Вредонос содержит ряд модулей, отвечающих за соединение с управляющим сервером, исполнение команд, учет файлов, записи видео и аудио, создание снимков экрана, записи нажатий клавиш (в том числе с виртуальной клавиатуры) хищения электронных писем и прочих действий. Взаимодействие с управляющим сервером осуществляется через HTTP POST запросы.
Как полагают специалисты, данный вариант разрабатывался еще с 2013 года, однако начал использоваться только в ноябре 2019 года. Что касается варианта для Linux, функционально он схож с версией для macOS, но слегка отличается в плане метода запуска и цепочки заражения. AI обнаружила несколько образцов для Linux, один из них был загружен на VirusTotal в 2014 году. Также организация выявила версию FinSpy для Windows, распространяемую под видом программного обеспечения WinRAR. Судя по датам, эта версия была скомпилирована в период между апрелем и сентябрем 2019 года.