Jakarta, PCplus. Malware FinFisher atau FinSpy adalah spyware terkenal yang sering dijual ke pemerintah atau lembaga-lembaga di seluruh dunia sebagai alat untuk pengintaian. Malware ini menurut ESET telah beredar luas di internet.
Menurut ESET, varian terbaru FinFisher kini memiliki kemampuan memata-matai yang luas, seperti pengawasan langsung melalui webcam dan mikrofon, keylogging, dan pengarsipan file. Menurut ESET, apa yang membuat FinFisher berbeda dari alat pengawasan lainnya adalah bagaimana FinFisher dijual bebas dan dipasarkan sebagai alat penegakan hukum dan diyakini telah digunakan oleh banyak pemerintah.
ESET menyatakan bahwa telah menemukan varian FinFisher terbaru ini beredar di tujuh negara. ESET mengklaim tidak bisa mengungkapkan negara mana saja yang telah disusupi, agar tidak membahayakan keselamatan siapa pun.
Menurut ESET, operasi gelap FinFisher atau yang dikenal dalam deteksi ESET sebagai Win32/FinSpy pada 12 September 2017 dengan versi deteksi database 16072 diketahui telah menggunakan berbagai mekanisme infeksi, termasuk spearphishing, instalasi manual dengan akses fisik ke perangkat, eksploitasi zero day, dan serangan watering hole (menulari situs yang diperkirakan akan dikunjungi).
ESET menambahkan bahwa yang baru dan yang paling meresahkan dari operasi baru adalah dalam hal distribusi yang menggunakan serangan man-in-the-middle (MITM) oleh pelaku yang kemungkinan besar beroperasi di tingkat ISP.
Menurut ESET, ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan valid (legitimate), aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
ESET menambahkan bahwa aplikasi yang disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. ESET menyatakan bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini.
Menurut ESET, serangan akan dimulai saat pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengeklik tautan unduhan, peramban (browser) mereka dilayani dengan tautan yang dimodifikasi dan diarahkanke paket pemasangan trojan yang ditempatkan di server pelaku.
ESET menyatakan bahwa saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher. Pengalihan lalu akan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy.
ESET menambahkan bahwa tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respons status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Menurut ESET, seluruh proses pengalihan ini akan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.
ESET menyatakan bahwa saat menganalisis spyware ini, ESET menemukan bahwa spyware FinFisher ini menyamar sebagai file executable bernama “Threema”. File semacam itu menurut ESET dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi.
Pasalnya menurut ESET, aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end. Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi justru dimata-matai.