FinSpy, ein leistungsstarkes Spionagetool

Die Spionagesoftware FinSpy (alias FinFisher) kann Benutzer von Geräten mit Android, iOS, macOS, Windows oder Linux ausspionieren. Wozu das Überwachungstool alles fähig ist und wie Sie sich davor schützen können.

Auf dem vor Kurzem gehaltenen Security Analyst Summit (SAS) von Kaspersky, präsentierten unsere Experten einen detaillierten Bericht über die Spionagesoftware FinSpy (auch bekannt unter dem Namen FinFisher) und die Verteilungsmethoden, darunter auch einige bisher unbekannte. Mehr über die neusten Entdeckungen finden Sie auf Securelist. In diesem Artikel werden wir näher darauf eingehen, um was für eine Art von Malware es sich bei FinSpy handelt und wie Sie sich davor schützen können.

Was ist FinSpy (FinFisher)?

FinSpy ist ein Staatstrojaner (in Deutschland auch Bundestrojaner genannt). Das heißt, die Spionagesoftware wird für Online-Überwachung im Rahmen der Strafverfolgung von diversen Regierungen auf der ganzen Welt verwendet. 2011 tauchte FinSpy zum ersten Mal auf dem Radar von IT-Sicherheitsforschern auf, als die Enthüllungsplattform Wikileaks die Spy Files 4 mit Details zum Staatstrojaner veröffentlichten. Der Quellcode erschien 2014 online, aber damit war die Geschichte von FinSpy längst noch nicht zu Ende. Es wurde eine Neuentwicklung durchgeführt und auch heute noch werden Geräte rund um den Globus mit dieser Malware infiziert.

FinSpy ist sehr vielseitig: Es gibt Versionen für Computer mit Windows, macOS oder Linux sowie Versionen für Mobilgeräte mit Android oder iOS. Die Fähigkeiten der Schadware hängen von der jeweiligen Plattform ab, aber in allen Fällen entwendet der Trojaner massenhaft Daten.

Verteilungsmethoden von FinSpy

Es gibt mehrere Möglichkeiten, wie die Spionagesoftware Geräte mit Windows unterwandern kann.

Der Trojaner kann sich beispielsweise in infizierten Installationspaketen für TeamViewer, VLC Media Player, WinRAR und anderen Tools verstecken. Durch das Herunterladen und Ausführen der modifizierten Anwendung wird eine Infizierung in mehreren Schritten in Gang gesetzt.

Darüber hinaus haben unsere Forscher den Malware-Loader in Komponenten gefunden, die vor dem Betriebssystem geladen werden: In der UEFI (Unified Extensible Firmware Interface, die Schnittstelle, über die das Betriebssystem mit der Hardware kommuniziert) und im MBR (Master Boot Record, der zum Starten von Windows notwendig ist). Bei beiden Komponenten wird FinSpy beim Hochfahren des Computers installiert.

Smartphones und Tablets können über Links in Textnachrichten mit FinSpy infiziert werden. In manchen Fällen, (z. B. wenn das iPhone des Opfers nicht durch einen Jailbreak den vollen Zugriff auf das Datei-System des Smartphones gewährt und keine Root-Rechte erteilt) können die Angreifer das Gerät nicht aus der Ferne infizieren, was die Ausführung um einiges erschwert. Anscheinend ist auch bei Geräten mit Linux physischer Zugriff auf die Systeme erforderlich, aber das können wird noch nicht hundertprozentig bestätigen.

Welche Daten werden von FinSpy gestohlen?

FinSpy ist ein vielseitiges Überwachungstool mit zahlreichen Fähigkeiten. Die PC-Version der Malware kann zum Beispiel Folgendes:

  • Das Mikrofon anschalten und alles Abgehörte aufzeichnen oder übertragen.
  • Alles, was vom Benutzer auf der Tastatur getippt wird, aufzeichnen oder in Echtzeit übertragen.
  • Die Kamera anschalten und alle Bilder aufzeichnen oder übertragen.
  • Die Dateien stehlen, mit denen der Benutzer interagiert, wie beispielsweise Zugriff, Bearbeitung, Ausdrucken, erhaltene sowie gelöschte Dateien usw.
  • Screenshots machen oder einen Bereich des Bildschirms aufzeichnen, auf den der Benutzer geklickt hat.
  • Mails auf den E-Mail-Clienten Thunderbird, Outlook, Apple Mail und Icedove stehlen.
  • Kontakte, Chats, Anrufe und Dateien in Skype abfangen.

Die Windows-Version von FinSpy kann außerdem Anrufe über Internettelefonie (VoIP) belauschen, Zertifikate und Verschlüsselungsschlüssel für bestimmte Protokolle abfangen sowie Computerforensik-Tools herunterladen und ausführen. Darüber hinaus ist die Windows-Version von FinSpy dazu in der Lage BlackBerry-Smartphones zu infizieren, d. h. selbst inzwischen eher selten verwendete Plattformen wurden bei der Entwicklung des Spionagetools nicht außer Acht gelassen.

Die Fähigkeiten der mobilen Version von FinSpy sind auch beachtlich: Anrufe (sowohl über das Mobilfunknetz als auch über Internettelefonie) belauschen und aufzeichnen, SMS lesen und die Benutzer-Aktivitäten in Messenger-Apps wie WhatsApp, WeChat, Viber, Skype, Line, Telegram, Signal und Threema überwachen. Die mobile Spyware schickt dem Betreiber außerdem eine Liste mit den Kontakten des Opfers, den Anrufen, Kalendereinträgen, Standortdaten und vielen anderen Informationen.

Wie Sie FinSpy vermeiden können

Leider ist es nicht so einfach sich vollkommen vor Staatstrojanern, bzw. Bundestrojanern zu schützen. Trotzdem gibt es einige Schutzmaßnahmen, mit denen Sie vermeiden können, dass Ihre Geräte mit FinSpy oder anderen Überwachungs-Apps infiziert werden:

  • Laden Sie Apps ausschließlich auf vertrauenswürdigen Quellen herunter – egal, ob für Mobilgeräte, PC oder Laptop. Zusätzlich sollten Android-Benutzer die Installation von unbekannten Apps verbieten, um das Risiko einer Infizierung zu minimieren.
  • Bei E-Mails und Nachrichten von unbekannten Absendern ist besondere Vorsicht vor dem Anklicken von Links geboten. Als Faustregel gilt: Links erst überprüfen und dann anklicken (und auch dann nur, wenn es unbedingt erforderlich ist).
  • Führen Sie in Ihrem Smartphone oder Tablet keine Veränderung des Betriebssystems durch, um Superuser-Zugriffsrechte zu erhalten und bestimmte Funktionen einzubauen: Durch das Rooten von Android-Geräten und Jailbreaks bei iOS-Geräten wird die Infizierung nur erleichtert.
  • Lassen Sie Ihre Geräte nie unbeaufsichtigt irgendwo liegen, wo Unbekannte physischen Zugriff darauf erhalten könnten.
  • Installieren Sie auf allen Geräten eine zuverlässige Sicherheitslösung.
Tipps