É descrito como um dos software de espionagem (spyware) mais difíceis de detetar de sempre e os muitos meses de trabalho investidos no FinSpy parecem provar isso mesmo: usa quatro técnicas de ofuscação (usa métodos e cria código deliberado para enganar os sistemas automáticos de deteção e os humanos) e tira partido do UEFI (software de arranque do computador) para infetar a máquina da vítima.
O FinSpy, também conhecido como FinFisher, não é uma ameaça nova – foi detetado pela primeira vez em 2011 e tem estado ativo desde então, sofrendo algumas transformações pelo caminho. Por exemplo, chegou a ser integrado em instaladores (ficheiros .exe) de populares aplicações de software, casos do VLC, Teamviewer e Winrar para infetar computadores sem que a vítima percebesse.
Desde 2018 que o número de equipamentos infetados pelo FinSpy tem estado em forte queda, mas uma investigação apresentada nesta terça-feira pela empresa de segurança informática Kaspersky pode ter encontrado a causa para isso: o software tornou-se muito difícil de detetar. No evento Security Analyst Summit, organizado pela tecnológica russa, os investigadores Igor Kuznetsov e Georgy Kucherin partilharam as conclusões de oito meses de investigação a este spyware.
Entre as grandes novidades estão a utilização de quatro técnicas diferentes de ofuscação por parte do software malicioso. Uma destas técnicas analisava, por exemplo, se o acesso estava a ser feito por uma máquina virtual – um possível indicador de que quem está a tentar aceder é um especialista em segurança informática. Detetada uma máquina virtual, nesse caso o software nada fazia. Segundo a descrição da Kaspersky, a nova versão do FinSpy também usa encriptação para ‘esconder-se’ na memória do computador.
Outra novidade foi a confirmação de que este spyware está a tirar partido do sistema de arranque dos computadores (UEFI) para infetar as máquinas logo nos momentos iniciais de utilização.
Se instalado com sucesso, o Finspy é capaz de roubar dados e ficheiros da máquina infetada, recuperar ficheiros apagados, fazer captação de imagem do ecrã, aceder à webcam, microfone e até intercetar tráfego web. Segundo o relatório da Kaspersky, o spyware é transversal a computadores Windows, MacOS e Linux.
Apesar de terem descoberto as novas formas de atuação deste software malicioso, Igor Kuznetsov e Georgy Kucherin disseram no final da apresentação que vão continuar a acompanhar esta ameaça e que o mais provável é que seja “uma história sem fim”.
