FinSpy — un logiciel espion commercial

15 Juil 2019

Que se passe-t-il lorsqu’un logiciel espion est développé par une importante entreprise informatique et non par des codeurs de malwares illégaux ? Le résultat est un programme dangereux comme FinSpy (aussi connu come FinFisher) développé et vendu en toute légalité depuis un certain temps maintenant. Nous avons détecté ce logiciel espion sur des dizaines de dispositifs mobiles au cours de l’année dernière.

FinSpy/FinFisher est un logiciel espion légal qui cible Android, iOS, Windows, macOS et Linux

Quelles sont les actions de FinSpy ?

Même s’il existe une version pour ordinateur du spyware (sous Windows, macOS et Linux), le plus grand danger vient des implants mobiles : FinSpy peut s’installer sur les dispositifs iOS et Android, et les fonctions disponibles sur chaque plateforme sont identiques. L’application donne au cybercriminel un contrôle presque total des données de l’appareil infecté.

Le malware peut être configuré de façon individuelle, selon la victime, ce qui permet au cerveau de l’attaque d’obtenir des renseignements détaillés sur l’utilisateur : répertoire, historique des appels, géolocalisation, messages, calendrier des événements et ainsi de suite.

Ce n’est pas tout. FinSpy peut enregistrer les appels vocaux et VoIP et intercepter les messages instantanés. Ce malware peut espionner divers services de communication : WhatsApp, WeChat, Viber, Skype, Line, Telegram mais aussi Signal et Threema. En plus des messages, FinSpy extrait les fichiers envoyés et reçus par les victimes à travers les applications de messagerie ainsi que les données relatives aux groupes et aux contacts. Securelist vous apporte plus de renseignements sur FinSpy.

Qui devrait se méfier de FinSpy

FinSpy vous infecte de la même façon que la plupart des malwares. Il s’agit surtout de suivre un lien qui figure dans un e-mail malveillant ou dans le texte d’un message.

Les propriétaires d’un dispositif Android sont généralement en danger. Les risques augmentent si l’appareil a été rooté puisque cette action facilite énormément le travail du malware. Si l’utilisateur n’a pas de droits d’accès d’utilisateur root mais qu’une application de root est installée sur le smartphone, comme c’est souvent le cas lorsque vous devez être super-utilisateur du système pour installer certaines applications, alors FinSpy peut l’exploiter pour obtenir le root. Même si un smartphone n’est pas rooté et ne dispose d’aucune application de root, le spyware peut obtenir l’accès root grâce à l’exploit DirtyCow.

Les choses sont un peu moins compliquées pour les utilisateurs Apple. La version iOS du logiciel espion exige que le système soit jailbreaké. S’il s’avère, à tout hasard, que le propriétaire de l’iPod ou iPad a déjà réalisé cette action alors le dispositif peut être infecté de la même façon que le dispositif Android. Si ce n’est pas le cas, le cybercriminel doit pouvoir accéder physiquement à l’appareil pour le jailbreaker manuellement et installer FinSpy.

Comment FinSpy/FinFisher infecte les dispositifs mobiles et quelles données sont dérobées

Comment vous protéger de FinSpy

Vous devez suivre les conseils habituels pour ne pas être victime de FinSpy et d’autres spywares :

  • Ne suivez pas les liens suspects qui vous sont envoyés par e-mail, message instantané et SMS.
  • N’essayez pas de rooter (Android) ou de jailbreaker (iOS) les dispositifs qui ont accès à des données sensibles.
  • Installez une solution de sécurité de confiance capable de détecter ce genre de menace. Les propriétaires d’iPhone ne devraient pas oublier qu’il n’y a malheureusement aucune solution similaire sous iOS et nous vous expliquons pourquoi.