下载WhatsApp却被植入间谍程式FinSpy，ESET：疑ISP从中搞鬼!

位于斯洛伐克的资安业者ESET本周警告，间谍程式FinSpy近来透过中间人（Man-in-the-Middle，MitM）攻击手法散布，用户下载WhatsApp、Skype等程式却被导引下载间谍程式，怀疑ISP业者可能涉嫌协助散布。

又名FinFisher的FinSpy是由专门开发监控器材、软件并提供监控训练服务的英国业者Gamma所打造，且专门出售给全球的政府机关，自2013年就可见到它的踪迹，它能透过视讯摄影机、麦克风或侧录键盘来监控目标对象，也能窃取目标对象的档案。

ESET指出，最近该公司在7个国家发现许多FinSpy变种程式，在其中的两个国家是透过中间人攻击散布，且强烈怀疑ISP业者涉入其中。

堪称是专业级间谍程式的FinSpy有许多散布管道，包括鱼叉式网络钓鱼（Spear Phishing）、实际存取装置并手动安装、零时差攻击程式或是水坑式攻击（Watering Hole）等，然而，ESET近来发现开始有骇客利用MitM来散布最新的FinSpy。

在采用MitM的攻击场景中，当使用者在合法网站或官网上搜寻所要下载的程式时，在点击下载键之后，浏览器却会将使用者导向由攻击者建立的服务器，并下载嵌有FinSpy的程式。（来源：ESET）

被FinSpy作为散布媒介的程式涵盖了WhatsApp、Skype、Avast、WinRAR及VLC Player等，这些都是非常知名的程式，很容易找到官方网站。

然而，如下图所示，当使用者点选合法的下载连结时，却会被连到恶意的服务器及档案，让安全研究人员不得不怀疑是ISP业者从中作梗。（来源：ESET）

ESET病毒分析师Filip Kafka表示，从技术上来说，中间人攻击可能发生在浏览程序中的任何一点，但观察FinSpy这阵子的地理分布，此一中间人攻击应该发生在更高的级别，而ISP即是最有可能的选择。

ESET的猜测有迹可循，主要是因为FinSpy的制造商也开发一个可将它部署于ISP网络的解决方案FinFly ISP，ESET相信这两个国家都采用了FinFly ISP，才使得它们使用一致的感染技术，受害者的ISP服务供应商也是一样的，且其中一个国家的ISP业者曾经利用同样的方法来过滤内容。

Kafka说，因不想让任何人陷入险境，所以并不打算公布这些国家的名称。