<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small;color:rgb(51,0,153)"><h2 class="">You Only Click Twice: FinFisher’s Global Proliferation</h2>
                                <p><i>March 13, 2013</i></p>

                                
<p><a href="https://citizenlab.org/wp-content/uploads/2013/04/15-2013-youonlyclicktwice.pdf">Download PDF version</a></p>
<p><strong>Authors:</strong> Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, and John Scott-Railton.</p>
<p><em>This post describes the results of a comprehensive global 
Internet scan for the command and control servers of FinFisher’s 
surveillance software. It also details the discovery of a campaign using
 FinFisher in Ethiopia used to target individuals linked to an 
opposition group. Additionally, it provides examination of a FinSpy 
Mobile sample found in the wild, which appears to have been used in 
Vietnam.</em></p>
<h3>Summary of Key Findings</h3>
<ul><li>We have found command and control servers for FinSpy backdoors, part
 of Gamma International’s FinFisher “remote monitoring solution,” in a 
total of 25 countries: Australia, Bahrain, Bangladesh, Brunei, Canada, 
Czech Republic, Estonia, Ethiopia, Germany, India, Indonesia, Japan, 
Latvia, Malaysia, Mexico, Mongolia, Netherlands, Qatar, Serbia, 
Singapore, Turkmenistan, United Arab Emirates, United Kingdom, United 
States, Vietnam.</li></ul>
<ul><li>A FinSpy campaign in Ethiopia uses pictures of Ginbot 7, an 
Ethiopian opposition group, as bait to infect users. This continues the 
theme of FinSpy deployments with strong indications of 
politically-motivated targeting.</li></ul>
<ul><li>There is strong evidence of a Vietnamese FinSpy Mobile Campaign. We 
found an Android FinSpy Mobile sample in the wild with a command & 
control server in Vietnam that also exfiltrates text messages to a local
 phone number.</li></ul>
<ul><li>These findings call into question claims by Gamma International that previously reported servers were <em>not</em> part of their product line, and that previously discovered copies of their software were either stolen or demo copies.</li>

</ul><p><a href="https://citizenlab.org/2013/03/you-only-click-twice-finfishers-global-proliferation-2/" target="_blank">https://citizenlab.org/2013/03/you-only-click-twice-finfishers-global-proliferation-2/</a><br><a href="http://surveillance.rsf.org/en/gamma-international/" target="_blank">http://surveillance.rsf.org/en/gamma-international/</a><br>




<a href="http://en.wikipedia.org/wiki/FinFisher" target="_blank">http://en.wikipedia.org/wiki/FinFisher</a><br><a href="https://www.f-secure.com/weblog/archives/00002114.html" target="_blank">https://www.f-secure.com/weblog/archives/00002114.html</a><br>




<a href="http://www.f-secure.com/weblog/archives/finfisher.pdf" target="_blank">http://www.f-secure.com/weblog/archives/finfisher.pdf</a> </p><div id=":19h">  (in arabic)</div></div></div>