你確定所下載的WhatsApp、Skype或VLC播放器是安全的嗎
安全研究員發現多款流行app的裝置包下載可能已在互聯網效勞供給商層面遭進犯，并被用于傳達臭名昭著的FinFisher監控軟件（也被稱為FinSpy）。FinSpy是一款秘密監控東西，此前曾被指跟英國公司Gamma Group有關。該公司將監控和特務軟件出售給全球各國政府。它具有多種監控功能，包括打開攝像頭和麥克風秘密展開實時監控、記錄受害者的所有按鍵、攔截Skype通話并提取文件。
為了入侵方針機器，FinFisher通常會使用多種進犯向量，包括魚叉式釣魚進犯、物理拜訪設備后手動裝置、利用0day縫隙、發動水坑式進犯等。

互聯網供給商或許無意之中也在幫助
ESET公司發布一份報告指出，研究人員在7個國家中發現了利用FinFisher新變種的新型監控活動，它跟一款app進行了綁定。

這一切是如何發作的？進犯者發動中間人進犯，而互聯網供給商就很可能充當“中間人”的角色行將合法軟件下載跟FinFisher綁定。研究人員指出其間兩個國家使用了這種技能，而其余五個國家依靠的仍然是傳統的感染向量。
維基解密此前在公布的文檔中也指出，FinFisher制造者也供給了一種名為 “FinFly ISP”的東西，它應該是布置于互聯網效勞供給商處，其間含有履行中間人進犯所需的功能。
別的，這兩個經過中間人進犯受感染的國家也適用HTTP 307重定向技能。不過ESET并未公布這兩個國家的身份，“以便任何人不會處于風險境地”。
證明存在互聯網效勞供給商等級中間人進犯的別的一個事實是，在某個國家所有受影響方針都使用相同的互聯網效勞供給商。
FinFisher新變種針對的流行app包括WhatApp、Skype、VLC播放器、Avast和WinRAR，而ESET公司的研究人員指出，“實際上任何應用程序都可能以這種方法被綁定。”進犯如何運作
當方針用戶在合法站點上查找合法app并點擊下載鏈接時，瀏覽器會收到一個經修改的URL，能讓受害者重定向至保管在進犯者效勞器上的受木馬感染的裝置包。結果導致合法app綁定了監控東西。
研究人員指出，“重定向是經過將合法下載鏈接替換為惡意鏈接完成的。這個惡意鏈接經過HTTP 307暫時重定向狀態響應代碼傳達到用戶的瀏覽器，這說明被請求的內容已暫時轉移到新的URL中。”
研究人員指出，整個重定向進程“無法被肉眼所見”，并且用戶對此毫不知情。
FinFisher利用多種新功能
最新版本的FinFisher應用了新技能，讓研究人員難以發現它的蹤影。研究人員還發現最新版本有多種隱秘技能改進內容，包括使用自定義代碼虛擬化來保護首要組件如內核模式驅動器。
它還使用反反匯編技能以及多種反沙箱、反調試、反虛擬化和反模仿技能，旨在進犯端對端加密軟件和已知的隱私信息東西。
這種狀況可從一款加密通訊類app中驗證。FinFisher監控軟件偽裝成一個可履行文件Threema。這類文件可用于進犯注重隱私的用戶，由于合法的Threema app經過端對端加密供給了安全的即時通訊功能。但具有諷刺意味的是，如果下載并運轉受感染文件，則會導致用戶遭監控。
Gramma Group尚未就ESET報告作出回應。