セキュリティ研究者らは、FinSpyとしても知られる悪名高いスパイウェアFinFisherの新しい亜種を利用した監視活動を追跡した。
ESETのセキュリティ研究者によると、影響を受けた国は7カ国あり、そのうち2カ国では大手インターネットプロバイダーが監視対象への感染に関与している可能性が高いという。ISPの関与が疑われており、もし確認されれば、これは初めてのケースとなる。
ESETは関与している国の名前を明らかにしていない(「誰も危険にさらさないため」と同社は述べている。他社は国名を挙げている)が、攻撃の仕組みの詳細を明らかにしている。
FinFisherは法執行機関向けのツールとして販売されていますが、人権問題で評判の悪い国々で実際に使用されている事例が数多くあります。このソフトウェアは、キーロギングやファイルの窃取による秘密の監視に加え、ウェブカメラやマイクを介したライブ監視も提供します。
最新のFinFisher亜種の詳細な感染メカニズム[出典: ESET]
最新の攻撃では、ユーザーがSkype、WhatsApp、VLC Playerをダウンロードしようとすると、攻撃者のサーバーにリダイレクトされ、そこで探しているアプリのトロイの木馬版がFinFisherに感染した状態で表示されます。ESETがFinFisherの拡散に悪用されていることを確認している他のコンシューマー向けアプリケーションには、AvastやWinRARなどがあります。
「調査の過程で、リダイレクトが大手インターネットプロバイダーのサービスレベルで発生していることを示唆するいくつかの兆候が見つかりました」と、この調査を実施したESETのマルウェアアナリスト、フィリップ・カフカ氏は述べた。®
