قدّم باحثو كاسبرسكي تحقيقًا شاملًا في جميع التحديثات الأخيرة التي أدخلت على برمجية التجسس FinSpy، والتي تستهدف أنظمة التشغيل Windows وMac OS وLinux، وأدوات تثبيتها. ويكشف البحث الذي استغرق إكماله ثمانية أشهر، عن تشويش مؤلف من أربعة مستويات أو طبقات، وإجراءات متقدمة لمكافحة التحليل يستخدمها مطورو برمجيات التجسس، بجانب استخدام حزمة UEFI لإصابة الضحايا. وتشير النتائج إلى تركيز كبير على التهرّب من القدرات الدفاعية، ما يجعل FinFisher أحد أصعب برمجيات التجسس في الكشف عنها حتى الآن.
ويُعدّ FinFisher، المعروف أيضًا بالاسمين FinSpy أو Wingbird، أداة مراقبة بدأت كاسبرسكي في تتبعها منذ العام 2011، وتتسم بالقدرة على جمع بيانات اعتماد الدخول إلى الحسابات، وقوائم الملفات، والملفات المحذوفة، بالإضافة إلى مختلف أنواع المستندات، وتسجيل البث المباشر والوصول إلى كاميرا ويب والميكروفون. وكان قد كُشف عن نسخها التي تُزرع في النظام Windows وبُحث فيها عدّة مرات حتى العام 2018 عندما بدا أن البرمجية قد اختفت عن المشهد.
بعد ذلك، اكتشفت حلول كاسبرسكي أدوات تثبيت مشبوهة لتطبيقات رسمية مثل TeamViewer وVLC Media Player وWinRAR، احتوت على شيفرات برمجية خبيثة لم يكن بالإمكان ربطها بأية برمجية خبيثة معروفة، حتى جاء يوم اكتشف فيه خبراء كاسبرسكي موقع ويب باللغة البورمية يحتوي على أدوات التثبيت المصابة وعينات من FinFisher خاصة بالنظام Android، ما ساعد على تحديد أنها كانت تروجانات تحمل برمجية التجسس نفسها. وقد دفع هذا الاكتشاف باحثي كاسبرسكي إلى مزيد من البحث في هذه البرمجية.
وبعكس الإصدارات السابقة من برمجية التجسس، والتي كانت تحتوي على تروجان مثبت مباشرة في التطبيق المصاب، فقد جرت حماية العينات الجديدة بمكونين؛ أداة تدقيق مسبق غير مستمرة non-persistent Pre-Validator وأداة تدقيق لاحق Post-Validator. ويُجري المكون الأول فحوصات أمنية متعدّدة للتأكد من أن صاحب الجهاز الذي يصيبه ليس باحثًا أمنيًا، وعندما تُجتاز عمليات التدقيق والتحقق، يزوِّد الخادم البرمجية بأداة التدقيق اللاحق، التي تضمن كون الضحية المصابة هي المقصودة، وعندها فقط يصدر الخادم أمره بتوظيف منصة التروجان الكاملة.
ويخضع FinFisher للحماية بالتشويش المكثف باستخدام أربع أدوات تشويش معقدة، تهدف إلى إبطاء تحليل برمجية التجسس. وعلاوة على ذلك، يلجأ التروجان إلى طرق غريبة لجمع المعلومات؛ فيستخدم، مثلًا، نمط المطورين في متصفحات الويب لاعتراض حركة مرور البيانات، حتى تلك المحمية ببروتوكول HTTPS.
