WhatsApp y Skype son dos de las aplicaciones más descargadas y utilizadas por los usuarios. Poco nos hace sospechar que cuando las descargamos podamos estar haciéndolo a través de un sistema ilegítimo. O en otras palabras, que lo que bajamos no sea realmente la aplicación oficial, sino que esta modificada. Esto es lo que parece que ha ocurrido con algunas importantes aplicaciones que han sido comprometidas en el nivel de ISP para distribuir el malware FinFisher spyware. A este malware se le conoce también como FinSpy.

FinFisher a través de WhatsApp o Skype

Los investigadores de seguridad han descubierto que las descargas legítimas de varias aplicaciones populares como WhatsApp, Skype, VLC Player y WinRAR han sido comprometidas en el nivel de ISP para distribuir el infame FinFisher spyware.

FinFisher es una herramienta de vigilancia muy oculta que anteriormente se ha asociado con la compañía británica Gamma Group. Se trata de una empresa que legalmente vende software de vigilancia y espionaje a agencias gubernamentales de todo el mundo.

El spyware cuenta con amplias capacidades de espionaje en un ordenador infectado, incluyendo la realización en vivo de vigilancia al encender las cámaras web y micrófonos. También puede grabar todo lo que la víctima escribe con un keylogger, interceptar llamadas de Skype y exfiltración de archivos.

Para entrar en el equipo de su objetivo, FinFisher usualmente utiliza varios vectores de ataque, incluyendo phishing, instalación manual con acceso físico al dispositivo, explotaciones de zero-day y ataques a agujeros desprotegidos.

ISP

Nuestro ISP, o proveedor de servicios de Internet, puede ayudar a los piratas a lograr su objetivo. Sin embargo, un nuevo informe publicado por ESET ha afirmado que sus investigadores habían descubierto nuevas campañas de vigilancia utilizando nuevas variantes de FinFisher en siete países, que viene dentro de una aplicación legítima.

Los atacantes se están dirigiendo a las víctimas utilizando a estos proveedores de Internet. Para ello utilizan descargas de software legítimo.

“Hemos visto que este vector se utiliza en dos de los países en los que los sistemas ESET detectaron el último spyware de FinFisher (en los cinco países restantes, las campañas se han basado en vectores de infección tradicionales) “, dicen los investigadores.

Documentos publicados anteriormente por WikiLeaks también indicaron que el fabricante de FinFisher ofreció una herramienta llamada “FinFly ISP”, que se supone que se despliega en el nivel de ISP con las capacidades necesarias para realizar un ataque MitM.

Además, la técnica de infección (utilizando el redireccionamiento HTTP 307) se implementó de la misma manera en los dos países afectados que ESET descubrió ser objeto de las nuevas variantes de FinFisher. Sin embargo, la firma no nombró a los países afectados.

Las aplicaciones más populares de las nuevas variantes de FinFisher incluyen WhatsApp, Skype, VLC Player, Avast y WinRAR. Los investigadores de ESET dijeron que “prácticamente cualquier aplicación podría ser mal utilizada de esta manera”.

Cómo funciona

Cuando las víctimas buscan una de las aplicaciones afectadas en sitios web legítimos y hacen clic en su vínculo de descarga, se le entrega a su navegador una URL modificada. Esta URL redirecciona a las víctimas a un paquete de instalación trojanized. Este paquete está hospedado en el servidor del atacante.

Esto se traduce en la instalación de una versión de la aplicación legítima prevista junto con la herramienta de vigilancia.