Finfisher ist eine Software, die entwickelt wurde, um die Computer und die Kommunikation von Menschen auszuspionieren. Allerdings ist sie kein Werk einer im Untergrund operierenden Gruppe an Cyberkriminellen, sondern das Produkt eines ganz normal angemeldeten Unternehmens aus Bayerns Hauptstadt München.

Bekanntheit erlangt hat das Programm durch seinen Einsatz als sogenannter "Bundestrojaner" in Deutschland, der 2018 offiziell abgesegnet wurde. Die Finfisher GmbH verkauft diesen allerdings nicht nur an die deutschen Behörden, sondern an Regierungen in aller Welt, darunter auch Länder wie de Vereinigten Arabischen Emirate, wo damit politische Aktivisten ins Visier genommen wurden.

Flash-Player mit gefährlicher Beifracht

Zuletzt tauchte laut Amnesty International Finspy im September 2019 erneut in Ägypten auf, wo eine Gruppe namens "NilePhish" versuchte, das Spionageprogramm an Menschenrechtsaktivisten und Medienmitarbeiter zu verteilen. Amnesty untersuchte das Paket und stellte fest, dass Finspy neue Fähigkeiten hinzugewonnen hat.

"Nilephish" versucht, seine Ziele auf die Website "Browserupdate Download" zu lotsen. Dort wartet ein angebliches Update für den (zunehmend irrelevanten) Flash Player von Adobe. Freilich kommt die (zum damaligen Zeitpunkt tatsächlich am aktuellen Versionsstand befindliche) Software mit einer gefährlichen Zuladung in Form eines "Droppers", der Finspy auf den Zielrechner schleust.

Weitere Analyse ergab, dass der Dropper von einem Nutzer mit dem Pseudonym "shenno" entwickelt wurde. Diese Bezeichnung tauchte auch schon vorher im Zusammenhang mit der Gruppierung auf. Später tauchte eine weitere Subdomain auf der Phishing-Seite auf, deren IP-Adresse zu einem Server des kleinen russischen Hostinganbieters "Offshore Servers" führt, der schon laut früheren Erkenntnissen ein von Nilephish bevorzugter Dienstleister ist. Diese Zusammenhänge wurden im Oktober 2019 auch von einem unabhängig erstellten Bericht des Unternehmens Checkpoint Security bestätigt.

Mac-OS- und Linux-Version bestätigt

Ende 2019 entdeckte man einen weiteren Server, über den Finspy-Malware verteilt wurde. Dieser dürfte allerdings nicht von Nilephish, sondern jemand anderem betrieben werden. Darauf entdeckte man gleich mehrere Varianten der Spionagesoftware. Unter dem Namen "Jakuba" wurde erstmals eine Finspy-Variante entdeckt, die Apples Mac OS ausspionieren kann. Die Existenz einer solchen war zuvor zwar vermutet, aber noch nicht definitiv bestätigt worden.

Ebenso zu finden war eine manipulierte PDF-Datei, über die eine Linux-Version des Spähtools verbreitet wurde. Auch eine solche war bis dahin unbekannt. Sie dürfte sich aller Wahrscheinlichkeit nach ihre Codebasis mit der Mac-OS-Fassung teilen. Weiters gab es auch ein als App getarntes Paket für Android. Finspy für Android und iOS wurde erstmals allerdings schon 2012 gesichtet.

Selbstschutz

Über den Aufbau und den Infektionsweg der neu entdeckten Varianten informiert im Detail die Auswertung von Amnesty International. Um sich selbst vor einer potenziellen Infektion mit Finspy zu schützen, rät das IT-Sicherheitsunternehmen Kaspersky zur Einhaltung von Grundregeln. Man sollte es tunlichst vermeiden, auf verdächtige Links in E-Mails oder anderen Nachrichten zu klicken, eine aktuelle Antimalware-Lösung nutzen und davon absehen, das eigene Handy per Root oder Jailbreak zu "knacken", da dies zwar mehr Anpassungsmöglichkeiten bietet, gleichzeitig aber auch ein Einfallstor für Malware schafft, die durch die bereits erfolgte Umgehung der Systemsicherheit im Ernstfall über alle Rechte auf dem Gerät verfügt. (red, 28.9.2020)