ArenaLTE.com - Seperti disebutkan sebelumnya, malware FinSpy kerap menjadi senjata dan bisnis gelap yang dilakukan banyak pihak, termasuk Pemerintah suatu negara. Hal tersebut digunakan sebagai mata-mata untuk mengetahui dan mencuri beragam informasi penting. Malware FinFisher atau FinSpy adalah spyware terkenal yang sering dijual ke pemerintah atau agensi-agensi di seluruh dunia.

Pun demikian, ada cara kerja malware FinSpy ini yang perlu diketahui oleh banyak pengguna perangkat Komputasi. Ketika pengguna yang menjadi target pengawasan ingin mengunduh salah satu dari beberapa aplikasi populer dan legitimate, aplikasi tersebut diarahkan ke versi aplikasi yang terinfeksi FinFisher.
 
Aplikasi yang telah dilihat disalahgunakan untuk menyebarkan FinFisher adalah WhatsApp, Skype, WinRAR, VLC Player dan beberapa lainnya. Penting untuk dicatat bahwa hampir semua aplikasi dapat disalahgunakan dengan cara ini.
 
Serangan dimulai dengan pengguna mencari salah satu aplikasi yang terpengaruh di situs web yang sah. Setelah pengguna mengklik tautan unduhan, browser mereka dilayani dengan tautan yang dimodifikasi dan diarahkan ke paket pemasangan trojan yang diinangi di server pelaku. Saat diunduh dan dijalankan, aplikasi tidak hanya menginstal aplikasi yang sah, namun juga spyware FinFisher berjalan bersamaan dengannya.
 
Pengalihan dilakukan dengan tautan unduhan yang sah diganti dengan yang sudah terpapar FinSpy. Tautan jahat dikirim ke browser pengguna melalui HTTP 307. Kode respon status pengalihan sementara menunjukkan bahwa konten yang diminta telah dipindah sementara ke URL baru. Seluruh proses pengalihan terjadi tanpa sepengetahuan pengguna dan tidak terlihat oleh mata telanjang.
 
Beredarnya kembali FinFisher tentu saja menimbulkan banyak kekuatiran berbagai pihak, hal ini mendapat perhatian dari Technical Consultant PT Prosperita – ESET Indonesia, Yudhi Kukuh: “Versi terbaru dari FinFisher telah menerima perbaikan teknis dan mengalami peningkatan kualitas, para pengembangnya fokus dengan mengembangkan teknologi stealth untuk menyembunyikan diri dari pelacakan radar.

Spyware juga menggunakan virtualisasi kode kustom untuk melindungi sebagian besar komponennya, termasuk driver mode kernel. Selain itu, seluruh kode sudah terisi dengan trik anti-pembongkaran. ESET menemukan banyak trik anti-sandboxing, anti-debugging, anti-virtualisasi dan anti-emulasi dalam spyware.”
 
Saat menganalisis operasi spyware ini, ESET menemukan sampel yang menarik, spyware FinFisher menyamar sebagai file executable bernama "Threema". File semacam itu dapat digunakan untuk menargetkan pengguna yang peduli terhadap privasi, karena aplikasi Threema yang asli menyediakan pesan instan yang aman dengan enkripsi end-to-end. Ironisnya, mereka malah tertipu untuk mengunduh dan menjalankan file terinfeksi yang mengakibatkan pengguna pencari privasi dimata-matai.
 
Fokus khusus pada pengguna yang mencari perangkat lunak enkripsi tidak terbatas hanya pada komunikator end-to-end. Selama penelitian, ESET juga menemukan file instalasi TrueCrypt sebuah software enkripsi disk yang sangat populer menjadi trojan bagi FinFisher.