翻译：360代码卫士

投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿

你确定所下载的WhatsApp、Skype或VLC播放器是安全的吗

安全研究员发现多款流行app的安装包下载可能已在互联网服务提供商层面遭攻击，并被用于传播臭名昭著的FinFisher监控软件（也被称为FinSpy）。FinSpy是一款秘密监控工具，此前曾被指跟英国公司Gamma Group有关。该公司将监控和间谍软件出售给全球各国政府。它具有多种监控功能，包括打开摄像头和麦克风秘密开展实时监控、记录受害者的所有按键、拦截Skype通话并提取文件。

为了入侵目标机器，FinFisher通常会使用多种攻击向量，包括鱼叉式钓鱼攻击、物理访问设备后手动安装、利用0day漏洞、发动水坑式攻击等。

互联网提供商或许无意之中也在帮忙

ESET公司发布一份报告指出，研究人员在7个国家中发现了利用FinFisher新变种的新型监控活动，它跟一款app进行了绑定。

这一切是如何发生的？攻击者发动中间人攻击，而互联网提供商就很可能充当“中间人”的角色即将合法软件下载跟FinFisher绑定。研究人员指出其中两个国家使用了这种技术，而其余五个国家依靠的仍然是传统的感染向量。

维基解密此前在公布的文档中也指出，FinFisher制造者也提供了一种名为 “FinFly ISP”的工具，它应该是部署于互联网服务提供商处，其中含有执行中间人攻击所需的功能。

另外，这两个通过中间人攻击受感染的国家也适用HTTP 307重定向技术。不过ESET并未公布这两个国家的身份，“以便任何人不会处于危险境地”。

证明存在互联网服务提供商级别中间人攻击的另外一个事实是，在某个国家所有受影响目标都使用同样的互联网服务提供商。

FinFisher新变种针对的流行app包括WhatApp、Skype、VLC播放器、Avast和WinRAR，而ESET公司的研究人员指出，“实际上任何应用程序都可能以这种方式被绑定。”

攻击如何运作

当目标用户在合法站点上搜索合法app并点击下载链接时，浏览器会收到一个经修改的URL，能让受害者重定向至托管在攻击者服务器上的受木马感染的安装包。结果导致合法app绑定了监控工具。

研究人员指出，“重定向是通过将合法下载链接替换为恶意链接完成的。这个恶意链接通过HTTP 307临时重定向状态响应代码传播到用户的浏览器，这说明被请求的内容已临时转移到新的URL中。”

研究人员指出，整个重定向过程“无法被肉眼所见”，并且用户对此毫不知情。

FinFisher利用多种新功能

最新版本的FinFisher应用了新技术，让研究人员难以发现它的踪迹。研究人员还发现最新版本有多种隐秘技术改进内容，包括使用自定义代码虚拟化来保护主要组件如内核模式驱动器。

它还使用反反汇编技术以及多种反沙箱、反调试、反虚拟化和反模拟技术，旨在攻击端对端加密软件和已知的隐私信息工具。

这种情况可从一款加密通讯类app中验证。FinFisher监控软件伪装成一个可执行文件Threema。这类文件可用于攻击注重隐私的用户，因为合法的Threema app通过端对端加密提供了安全的即时通讯功能。但具有讽刺意味的是，如果下载并运行受感染文件，则会导致用户遭监控。

Gramma Group尚未就ESET报告作出回应。