Internetproviders in twee landen lijken mee te werken aan spionage met de beruchte FinFisher-spyware. Dat concludeert cybersecuritybedrijf ESET donderdag na eigen onderzoek.

De firma trof een nieuwe variant van FinFisher aan in zeven verschillende landen. In twee van die landen lijken internetproviders mee te werken aan de verspreiding van de malware. ESET zegt de namen van de betreffende landen niet te onthullen "om niemand in gevaar te brengen".

FinFisher is gespecialiseerde spionagesoftware die wordt verkocht aan overheden en politiediensten over de hele wereld. Uit documenten die Wikileaks in 2014 publiceerde bleek dat ook de Nederlandse politie 2,7 miljoen euro had uitgegeven aan de software.

Nieuwe techniek
De spyware wordt normaal gesproken op de apparaten van doelwitten geplaatst door bijvoorbeeld phishingmails te versturen en de doelwitten te verleiden om op een kwaadaardige link te klikken. Maar in twee landen lijkt FinFisher een nieuwe techniek toe te passen.

Daar werden doelwitten die naar populaire software als WhatsApp, Skype en VLC Player zochten, ongemerkt omgeleid naar een kwaadaardige link. Dit gebeurde volgens ESET op veel verschillende locaties bij verschillende gebruikers, waardoor het volgens het bedrijf onwaarschijnlijk is dat er bijvoorbeeld alleen een kwaadaardig wifi-netwerk in het spel was.

Medewerking door internetproviders is volgens ESET "de meest waarschijnlijke uitleg" voor de zogenoemde man-in-the-middle-aanval.

Wikileaks
Het bedrijf wijst erop dat eerder al documenten over een providervariant van FinFisher uitlekten. Wikileaks publiceerde in 2011 en 2014 al over 'FinFly ISP', een dienst die volgens het bedrijf achter FinFisher kan worden "geïntegreerd in het kern- en/of toegangsnetwerk" van een provider. De inzet van deze software werd nooit eerder waargenomen.

De nieuwe versie van de FinFisher-malware die ESET heeft aangetroffen is volgens de onderzoekers geavanceerder dan ooit tevoren. Er zouden allerlei nieuwe methodes worden gebruikt om detectie en deïnstallatie van de malware te voorkomen.