Variantes del troyano FinFisher detectadas en iOS y Android

Escrito por Adrián Crespo
Android
1

A principios de mes os informábamos en RedesZone.net sobre la aparición de un troyano que había sido desarrollado por una compañía británica y que estaba destinado a ser utilizado como ayuda para agencias internacionales de seguridad y protección de ciudadanos.

Menos de un mes han tardado en aparecer las primeras variantes del troyano FinFisher. Algunos investigadores de la Universidad de Toronto han encontrado variantes que afectan a sistemas operativos móviles. Y es que, aunque sólo era válido para ser instalado en ordenadores personales, los delincuentes se las han arreglado para que el troyano sea capaz de afectar a los sistemas operativos móviles.

Por lo tanto, iOS, Android, Windows Phone y Blackberry OS podrían ser afectados de igual manera por el programa espía.

El troyano fue desarrollado en Alemania por la empresa Gamma International, que tiene en Londres ubicada su sede principal. Una vez finalizado el periodo de desarrollo, el troyano era vendido a los gobiernos de los países y a sus agencias de seguridad. En un principio, estaba programado para poderse instalar en los sistemas operativos Linux, todas las versiones actuales de Windows y Mac OS X.

Hasta ahora se sabía más bien poco acerca de este troyano y su funcionamiento.

Monitorizar cualquier acción que se lleve a cabo en el dispositivo

El troyano parece ser que llega a los smartphone utilizando el correo electrónico. Una vez en el teléfono, es capaz de interceptar cualquier tipo de llamada o mensajes, ya sea SMS o de algún servicio de mensajería como Messenger o Whatsapp. Incluso se cree (aunque de momento no se ha demostrado) que las conversaciones de Blackberry Messenger son también monitorizadas.

Descargar cualquier tipo de archivo, utilizar el GPS del teléfono para obtener la localización del usuario o realizar escuchas de llamadas telefónicas son algunas de las cosas que puede llevar a cabo el troyano que parece sacado de una película de James Bond.

Afecta a las versiones posteriores a iOS4

En el caso de la versión del troyano que afecta a iOS, se ha sabido que es necesario que el iPhone posea una versión iOS4 o superior y afecta a los iPhone 4 y iPhone 4S y a todos los modelos del iPad. Incluso se cree que los iPod podrían estar afectados pero tampoco es seguro ya que no se ha podido probar.

Una vez ha sido descargado, el troyano procede a ser instalado en segundo plano en el dispositivo, descarga algún fichero más que necesita para el funcionamiento e inyecta código para que la “aplicación” arranque cada vez que el teléfono sea encendido o reiniciado.

El troyano no tiene problemas para instalarse porque parece ser que ha conseguido un certificado que permite saltarse el control de seguridad que posee iOS.

Simula ser servicios del sistema 

En los terminales móviles equipados con Android y Blackberry OS, el troyano se camufla haciendose pasar por servicios críticos del sistema operativo móvil, como el sistema de actualizaciones, el control de la pantalla, … En concreto, la variante de Blackberry se identifica como “rlc_channel_mode_updaters“, un modulo que si se observa minuciosamente, está firmado por RIM.

En el caso de Windows Phone sucede algo similar a Android, la variante se hace llamar “services.exe” y crea dos librerías DLL que serán las encargadas de llevar a cabo la tareas descritas con anterioridad.

¿Cómo ha llegado el troyano a personas no autorizadas?

Aunque cuando se supo que se había filtrado no se sabía a ciencia cierta lo que había sucedido, parece que es probable que alguno de los países a los que se suministra el programa, haya sido víctima de un robo o un hackeo, y hayan aprovechado para hacerse con el programa.

Fuente | The H Security


Noticias relacionadas

Comentarios


1 comentario
  1. SergioMVP 31 Ago, 12 11:47

    Los terminales Windows Phone no están afectado por este problema debido a su arquitectura. Este problema sólo afecta a los antiguos que usaban Windows Mobile. Son sistemas operativos totalmente distintos.

    Responder
    0