官方渠道下載也不安全！運營商劫持流行軟體安裝包篡改為病毒

如何確定你在設備上安裝WhatsApp、Skype或VLC Player真的是官方版本呢？

安全研究人員最近發現，部分運營商網路下，幾款最流行應用軟體（包括WhatsApp、Skype、VLC Player和WinRAR）官方下載渠道受到感染，被惡意利用分發臭名昭著的間諜軟體FinFisher（也稱FinSpy）。

FinSpy是一款非常隱秘的監控工具，由英國知名間諜軟體公司Gamma製作，Gamma可以合法向世界各地政府機構出售監控和間諜軟體。

這類軟體感染設備後擁有強大的監控能力，包括打開攝像頭和麥克風實時監控、用鍵盤記錄器記錄受害者的所有鍵入內容、攔截Skype通話和文件傳輸等。

為了感染目標的設備，FinFisher使用了許多手段，比如釣魚、物理接觸手動安裝、0day利用、水坑攻擊等。

運營商劫持式攻擊

最近，安全廠商ESET一份報告顯示，間諜軟體們似乎找到了更高效的攻擊手段。ESET研究人員在7個國家/地區發現有人使用FinFisher變種進行新的監視活動，這些活動隱蔽在正常應用軟體之中。

怎麼做到的呢？攻擊者使用中間人攻擊（MitM）黑進了目標機器，而網路運營商（ISP）最可能作為「中間人」為FinFisher提供了劫持便利。

「基於ESET系統檢測，我們看到新版本FinFisher已經在兩個國家使用了該種手法，另外還有五個國家在使用傳統的感染手段。」研究人員說。

之所以認為是運營商搞鬼，原因有四：

1、維基解密過去發布的文件顯示，FinFisher還有一個配套的「FinFly ISP」軟體，用於部署在運營商網路里，去具體執行此類中間人攻擊。

2、ESET發現新版本FinFisher在兩個國家裡使用相同的感染手段，即HTTP 307重定向。

3、一個國家的所有受害者都是用相同的運營商網路。

4、至少有一個受影響國家的運營商已經使用了相同的重定向手法進行過內容過濾。

攻擊過程和原理

當目標用戶在正常網站上搜索被盯上的應用軟體，並點擊下載時，他們的瀏覽器會收到一個修改過的URL，將目標用戶重定向到攻擊者伺服器託管的木馬安裝包。

這將導致用戶安裝的並非正規軟體，而是被修改的惡意軟體。研究人員表示，整個重定向過程肉眼辨別不出，用戶難以感知。

FinFisher的新功能

除了新的攻擊手段，新版本FinFisher還增強了隱蔽性。

研究人員注意到，它使用自定義虛擬化來保護大部分組件，比如內核驅動；它使用反調試、反沙盒、反虛擬機、反模擬等技巧，來對抗逆向分析。

值得一提是，FinFisher試圖偽裝成安全通信軟體Threema。官方版Threema提供端到端加密的防護，而山寨偽裝版卻想要偷竊用戶的隱私，很諷刺吧。

Gamma公司目前尚未就ESET的報告作出回應。

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！