FinSpy: un spyware comercial

15 Jul 2019

¿Qué sucede cuando es una importante empresa informática la que desarrolla el spyware y no unos codificadores de malware en clandestinidad? El resultado puede ser muy desagradable, como FinSpy (también conocido como FinFisher), un spyware desarrollado y vendido legalmente desde hace ya bastante tiempo. En el último año hemos detectado este spyware en docenas de dispositivos móviles.

FinSpy/FinFisher es un spyware legal para Android, iOS, Windows, macOS y Linux¿Qué hace FinSpy?

Aunque existe una versión para ordenador del spyware (no solo para Windows, también para macOS y Linux), el mayor peligro procede principalmente de la versión para móvil: FinSpy se puede instalar tanto en iOS como en Android, con la misma serie de funciones para cada plataforma. La aplicación le concede al atacante el control total sobre los datos del dispositivo infectado.

El malware se puede configurar de forma individual según la víctima, de tal forma que ofrece al atacante información sobre el usuario, incluidos los contactos, el historial de llamadas, la geolocalización, los mensajes, los eventos del calendario y demás.

Pero eso no es todo. FinSpy puede registrar audios y llamadas VoIP e interceptar mensajes instantáneos. Tiene la capacidad de espiar en muchos servicios de comunicación: WhatsApp, WeChat, Viber, Skype, Line, Telegram, además de Signal y Threema. FinSpy también extrae los archivos que envían y reciben las víctimas en las aplicaciones de mensajería, además de los datos sobre los grupos y contactos. Para más información sobre FinSpy, visita Securelist.

¿Quién debería tener cuidado con FinSpy?

La infección es similar a la de la mayoría de los malware. Los casos más frecuentes incluyen un enlace en un correo electrónico o un mensaje de texto malicioso.

Los propietarios de dispositivos Android suelen estar siempre en la zona de riesgo y, si han hecho root a sus dispositivos, esto facilita enormemente la tarea del malware. Si, no obstante, el usuario no tiene acceso root, pero cuenta con una aplicación para ello instalada en el smartphone (al igual que cuando se requieren derechos de superusuario para la instalación de alguna otra aplicación), FinSpy puede explotarlo para obtener el root. Incluso aunque no hayas hecho root a tu smartphone ni tengas aplicaciones instaladas para ello, el spyware puede conseguir acceso root utilizando el exploit DirtyCow.

Los usuarios de Apple lo tienen un poco más fácil. La versión para iOS del spyware requiere un jailbreak del sistema. Si por casualidad el propietario del iPhone/iPad ya lo ha hecho, el dispositivo podría infectarse de la misma forma que un Android. Pero, si no, el atacante necesita acceder físicamente al dispositivo, ejecutar el jailbreak manualmente e instalar FinSpy.

Cómo FinSpy/FinFisher infecta dispositivos móviles y qué datos roba

Cómo protegerte contra FinSpy

Para evitar caer en la trampa de FinSpy o de otro spyware similar, tienes que seguir las directrices habituales:

  • No accedas a enlaces sospechosos en correos electrónicos, mensajes instantáneos o de texto.
  • No intentes conseguir accesos root (Android) ni ejecutes jailbreak (iOS) en dispositivos que tengan acceso a datos importantes.
  • Utiliza una solución de seguridad de confianza que pueda detectar este tipo de amenazas. Los propietarios de iPhone deben tener en cuenta que, desgraciadamente, este tipo de soluciones no están para iOS (aquí explicamos el por qué).